序 


软件 定义 网 络 (SDN) 的 发 展 之 迅猛 ， 超 出 所 有 人 的 预料 。 从 2007 年 斯 坦 福 大 学 的 Ethane 项 目 和 普林斯顿 大 学 的 4D 架 构 ， 
到 如 今 数 十 亿美 元 并 持续 快速 增长 的 市 场 规模 ，SDN 冲 破 网 络 界 长 期 以 来 念 发 烦 完 、 日 趋 垄 断 的 薄 篇 ， 为 技术 创新 和 产业 发 展 打 
开 了 一 片 新 天 地 。SDN 从 象牙 塔 到 投资 潮 前 所 未 有 的 推进 速度 ， 也 及 时 响应 了 云 计算 的 呼唤 。 然 而 ， 正 如 互联 网 在 成 熟 过 程 中 所 
揭示 的 那样 ， 网 络 连 通 技术 的 每 一 次 阶 路 都 需要 网 络 安全 技术 的 伴随 。 反 之 ， 用 户 采 纳 新 技术 时 对 安全 性 的 疑虑 ， 会 使 其 普及 遭 


遇 瓶 颈 。 


SDN 安 全 因而 成 为 近年 来 学 术 研究 和 产业 开发 的 热点 。 软 件 定义 网 络 的 安全 性 有 什么 特点 ?如何 构建 相应 能 力 保 护 SDN 安 
全 ? 如 何 利用 SDN 的 优势 提升 网 络 的 安全 性 ? 这 些 都 成 为 SDN 安 全 的 研发 内 容 ， 包 括 SDN 的 安全 (Secure SDN 或 Secutity for 
SDN) 和 软件 定义 的 网 络 安全 (SDN Security X Security by SDN) 。 我 国 SDN 学 术 研 究 开 展 得 较 晚 ，2011 年 才 在 INFOCOM 上 有 所 
展示 ， 但 产业 开发 的 进展 很 快 ，2012 年 就 召开 了 “中 国 开 放 网 络 高 峰会 议 ”。 尽 管 近 几 年 国内 已 经 出 版 了 一 些 关 于 SDN 的 书籍 ， 
但 关于 SDN 安 全 较为 全 面 的 总 结 和 介绍 尚 不 多 见 。 本 书 填补 了 这 方面 的 空白 ， 从 学 术 前 沿 到 实用 案例 ， 做 了 一 番 综 合 梳 理 的 可 贵 
尝试 ， 也 凝结 了 作者 的 研发 成 果 。 


SDN 从 技术 到 市 场 仍 处 于 成 熟 期 的 “前 夜 ”， 而 SDN 安 全 的 研究 和 开发 更 是 处 于 蓝 壮 成 长 的 婴儿 期 ， 在 很 多 方面 尚未 达成 共 
识 ， 标 准 化 和 商业 化 也 还 比较 薄弱 。 然 而 ，SDN 引 领 未 来 网 络 发 展 的 势头 毋庸 置疑 ，SDN 安 全 更 是 面临 着 各 种 新 兴 网 络 的 安全 挑 
战 。 网 络 的 虚拟 化 与 隔离 、 入 侵 与 泄露 的 防范 、 攻 击 的 抵御 与 缓解 ， 特 别 是 安全 策略 的 动态 有 效 管理 ， 从 架构 到 算法 、 从 理论 到 
实践 、 从 学 术 到 产业 ， 都 还 有 很 大 的 研发 空间 。 虽 然 本 书 只 是 SDN 安 全 技术 的 一 个 阶段 性 总 结 ， 但 我 相信 它 会 成 为 业界 向 新 的 技 
术 前 沿 发 起 冲击 的 “加 油 站 ”， 为 SDN 安 全 的 鞍 描 发 展 起 到 推动 作用 。 


清华 大 学 信息 科学 技术 学 院 常务 副 院 长 兼 信息 技术 研究 院 院 长 


niil 


前 


光阴 荃 茜 ，SDN 和 NEFV 等 新 的 网 络 技术 提出 也 不 过 短 短 数 年 。 在 这 数 年 中 ， 笔 者 见证 了 网 络 和 安全 轿 的 很 多 变化 : 从 勒索 软 
件 建 虞 、DDoS 产 业 化 到 网 络 保险 初 露 端倪 ， 从 Target 恬 闻 到 数据 泄露 天 天 见 ， 从 Hacking Team 武 器 库 曝 光 到 各 种 安全 事件 层 出 不 


穷 ， 从 APT 关 注 回 落 到 威胁 情报 满天飞 ， 从 网 信 办 成 立 、“ 三 法 ”推出 山 到 网 络 安全 上 升 到 国家 战略 ， 似 乎 每 天 都 有 “好 戏 ” 出 
台 。 可 以 说 ， 这 是 一 个 最 坏 的 时 代 ， 也 是 一 个 最 好 的 时 代 。 信 息 安 全 从 业者 如 果 不 能 适应 这 些 矛盾 、 拥 抱 这 种 变化 ， 迟 早 会 被 淘 
ik. 


不 仅 安全 业务 上 日新月异 ， 攻 击 手 段 也 层出不穷 ， 就 连 人 们 所 依赖 的 基础 设施 也 都 在 发 生 翻 天 履 地 的 变革 。 如 果 5 年 前 人 们 对 
云 计 算 还 尚 存 疑虑 ， 那 么 现在 人 们 使 用 手机 享受 云端 服务 时 ,似乎 早已 理所当然 。 而 支撑 这 些 SaaS 应 用 的 计算 、 存 储 和 网 络 很 可 


能 是 虚拟 形态 的 。Gartner 公 司 的 成 熟 度 曲线 早已 指出 ， 在 不 久 的 未 来 ，SDN、NFV 等 新 技术 会 重 构 现 有 的 网 络 基 础 设施 。 那 么 如 
何 认识 这 些 新 技术 ， 如 何在 这 些 新 型 网 络 环境 中 部 署 安全 防护 机 制 ， 都 是 给 从 业者 提出 的 现实 问题 。 


本 书 内 容 如 下 。 
第 1 章 介 绍 了 SDN 和 NFV 技 术 的 基本 概念 和 发 展 方向 。 


第 2 章 从 架构 、 协 议 、 资 源 、 应 用 和 系统 实现 等 方面 六 述 了 SDN 和 NFV 面 临 的 风险 和 解决 方法 。 


第 6 章 从 原理 上 介绍 了 使 用 SDN 和 NFV 技 术 实 现 一 些 安全 防护 的 功能 。 

第 7 章 介 绍 了 业内 在 SDN 和 NFV 安 全 方面 提出 的 思想 和 产品 方案 。 

第 8 章 介 绍 了 国内 外 企业 在 软件 定义 安全 方面 所 做 的 实践 工作 。 

由 于 笔者 水 平 有 限 ， 书 中 难免 会 有 错误 或 表达 不 当 之 处 ， 和 希望 读者 、 专 家 指出 ， 以 便 笔 者 修正 ， 在 此 衷心 感谢 ! 


[1 “三 法 ”是 指 《 中 华人 民 共 和 国 刑法 修正 案 ( 九 ) 》《 网 络 安全 法 (草案 ) 》 和 《国家 安全 法 》。 


第 1 章 SDN 和 NFV: 下 一 代 网 络 的 变 


1.1 什么 是 SDN 和 NFV 


1.1.1. SDN/VNFV 诞 生 的 背景 


计算 机 网 络 的 高 速 发 展 催生 了 海量 的 网 络 应 用 ， 而 以 TCP/IP 协 议 为 核心 的 互联 网 早已 渗透 到 人 们 工作 、 生 活 的 各 个 领域 ， 
如 信息 化 系统 、 搜 索引 擎 、 电 子 商务 和 社交 了 网络 等 。 随 着 网 络 用 户 数量 的 急剧 增加 ， 网 络 规模 不 断 扩 大 ， 网 络 设备 承载 了 过 多 复 
杂 的 网 络 协议 。 由 于 传统 网 络 设备 大 都 以 封闭 硬件 的 形态 交付 和 部 署 ， 网 络 中 充斥 着 烟 钢 式 产品 形态 的 网 络 设备 。 因 此 ， 网 络 设 
备 的 封闭 性 增加 了 网 络 定制 与 优化 的 难度 ， 使 得 现 有 的 计算 机 网 络 在 丰富 的 网 络 应 用 面前 ， 越 来 越 突 显 其 架构 演进 的 局 限 性 。 


近年 来 ， 虚 拟 化 与 云 计算 技术 的 兴起 给 网 络 动态 性 提出 了 更 高 的 要 求 。 随 着 云 计 算 和 移动 互联 网 技术 的 飞速 发 展 ， 越 来 越 多 
的 网 络 业务 逐渐 向 云 数 据 中 心 迁移 ， 而 网 络 流量 也 随 之 呈 爆 发 式 增长 。 根 据 思科 《全 球 云 指数 (2013—2018) 》 上 的 预测 : 
全 球 数据 中 心 的 网 络 流量 在 2018 年 将 达 8.6ZB (1ZB=220PB) ; 相 较 于 传统 数据 中 心 ， 云 数据 中 心 的 网 络 流量 占 比 将 从 2013 年 
的 54% 提 升 至 2018 年 的 76%; 从 流量 类 型 上 看 ，74.5% 的 网 络 流量 发 生 在 数据 中 心 内 部 。 网 络 业务 和 流量 的 快速 增长 极 大 地 提 
高 了 云 服务 商 对 云 数据 中 心 网 络 ， 尤 其 是 云 数据 中 心 内 部 网 络 的 管理 难度 。 另 一 方面 ， 云 计算 以 “租用 ”的 方式 改变 了 IT 资 源 的 
交付 手段 。 租 户 对 资源 “ 按 需 申请 ”和 “ 按 使 用 付费 ”， 使 得 部 署 在 云 数据 中 心 网 络 中 的 各 种 资源 处 于 持续 改变 的 状态 。 网 络 拓 
扑 的 动态 性 给 网 络 运 维 人 员 带 来 了 前 所 未 有 的 管理 挑战 。 


众多 网 络 领域 的 学 者 认为 ， 以 TCP/IP 为 基础 的 传统 自治 的 网 络 架构 的 浆 端 在 多 年 的 发 展演 进 中 逐渐 显露 ， 这 些 问 题 难 以 通 
过 打 补 J 的 方式 从 根本 上 得 到 解决 。 因 此 ， 网 络 架 构 的 重 构 势 在 必 行 。 重 构 的 新 的 网 络 体系 架构 一 方面 能 够 尽 可 能 地 考虑 当前 的 


各 种 需求 ， 另 一 方面 能 够 尽 可 能 地 满足 未 来 可 能 的 需求 。 这 种 架构 重 构 的 方案 在 学 术 界 被 称 为 “Clean Slate" SRP, Epit 
表 性 的 工作 有 : 美国 的 GENI、 欧 盟 的 FIRE、 中 国 的 CEN1， 以 及 日 本 的 AKARI。 在 这 些 工作 中 ， 斯 坦 福 大 学 Nick Mckeown 教 授 
的 博士 生 Martin Casado 领 导 的 一 个 关于 网 络 安全 的 子 项 目 EthaneDB] 获 得 了 广泛 的 关注 。 该 项 目 利 用 集中 的 网 络 控制 器 ， 定 义 
基于 网 流 粒度 的 全 网 安全 策略 ， 并 将 这 些 策略 动态 部 署 到 所 控制 的 交换 机 上 ， 从 而 实现 对 安全 的 管控 。 通 过 在 Ethane 工 作 的 基 
础 上 进行 抽象 ，Nick Mckeown 研 究 组 提出 将 传统 网 络 设备 的 控制 平面 与 数据 平面 在 物理 上 进行 分 离 ， 构 建 全 网 范围 内 集中 的 
控制 平面 ， 同 时 标准 化 网 络 设备 的 编程 接口 ， 进 而 实现 网 络 行为 的 可 定制 性 。 这 些 创新 型 的 网 络 架构 理念 ， 在 2008 年 发 表 

的 “OpenFlow: Enabling Innovation in Campus Networks" 一 文 由 中 得 到 了 系统 的 阐释 ，SDN (软件 定义 网 

络 ，Software Defined Network) 架构 和 OpenFlow 标 准 接口 就 此 形成 。SDN 技 术 P] 提 出 了 交换 设备 数据 平面 和 控制 平面 相 分 
离 的 网 络 体系 架构 。 通 过 逻辑 上 集中 的 控制 器 和 开放 、 标 准 的 交换 设备 编程 接口 ， 网 络 的 转发 行为 可 以 灵活 、 快 速 地 由 控制 器 上 
根据 业务 逻辑 编写 的 应 用 程序 来 定制 ， 从 而 极 大 地 方便 了 网 络 管理 ， 促 进 了 网 络 领域 的 研究 创新 。SDN 的 提出 在 网 络 领 域 迅速 
掀起 了 研究 与 应 用 的 热潮 。 为 了 进一步 推进 SDN 的 标准 化 ， 加 快 SDN 应 用 的 落地 ， 非 营利 性 组 织 性 质 的 开放 网 络 基金 会 (Open 
Networking Foundation, ONF) [o 于 2011 年 成 立 。 它 每 年 举办 的 开放 网 络 峰 会 (Open Networking Summit, ONS) Ub; 
聚 了 全 球 工业 界 最 前 沿 的 SDN 技 术 和 应 用 案例 ; 同时 ， 该 峰会 还 专门 设立 了 研究 通道 ， 供 学 术 界 和 工业 界 就 SDN 的 发 展 前 沿 进 
行 沟通 。 由 于 能 够 对 网 络 设备 实施 更 有 效 的 控制 ，SDN 技 术 在 校园 网 、 企 业 网 、 无 线 网 和 数据 中 心 网 络 等 多 种 环境 下 获得 了 广 
泛 的 实验 部 署 。SDN 最 成 功 的 实际 应 用 当 属 在 数据 中 心 网 络 环境 下 。 对 于 数据 中 心 的 内 部 网 络 ，SDN/OpenFlow 的 创始 团队 成 
立 了 网 络 初创 公司 Nicira ， 瞄 准 云 数据 中 心 的 网 络 虚 拟 化 需求 ， 提 出 了 基于 OpenFlow 软 件 交换 机 的 SDN 解 决 方案 四， 得 到 了 虚 
拟 化 领域 的 巨头 VMware 公司 的 重视 ， 并 被 后 者 以 12.6 亿 美元 收购 。 对 于 数据 中 心 之 间 的 网 络 ， 互 联网 巨头 Google 公 司 利用 
OpenFlow 硬 件 交换 机 和 分 布 式 控制 器 ， 在 全 球 多 个 数据 中 心 之 间 实 施 流量 工程 ， 将 广域网 的 链 路 利用 率 从 30%~40% 提 升 至 接 
近 100%， 并 且 降 低 了 交换 机 的 网 包 缓存 需求 ， 使 得 网 络 状态 变 得 更 加 稳定 吕 。 


与 起 源 于 学 术 界 的 SDN 不 同 ， 网 络 领域 最 大 的 客户 群体 一 一 运营 商 ， 对 网 络 设备 ， 尤 其 是 网 络 服 务 设备 ， 有 着 另 一 番 认 
识 。 由 于 运营 商 所 提供 业务 的 多 样 性 ， 其 网 络 中 部 署 了 大 量 的 专用 硬件 设备 。 而 运营 商 每 开通 一 项 新 业务 ， 往 往 难以 对 已 有 的 硬 
件 资 源 进行 重新 利用 ， 必 须 采 购 新 的 网 络 硬件 设备 才能 实现 对 新 业务 的 支持 。 这 些 新 增 的 硬件 设备 消耗 了 机 房 和 电力 资源 ， 增 加 
了 运营 商 的 资本 性 支出 (Capital Expenditure, CAPEX) ; 同时 ， 不 同类 型 、 不 同 厂商 设备 的 管理 接口 和 功能 特性 通常 存在 差 
异 ， 运 营 商 在 进行 系统 集成 和 运营 维护 时 面临 着 较 高 的 复杂 性 ， 增 加 了 运营 商 的 运营 成 本 (Operating Expense, OPEX) 。 更 
为 严重 的 是 ， 随 着 技术 进步 速度 的 逐步 加 快 ， 网 络 设备 的 产品 生命 周期 逐渐 缩短 ， 从 而 加 快 了 产品 的 更 新 换代 ， 影 响 了 运营 商 利 
润 的 增长 。 


随 着 x86 服 务 器 性 能 的 不 断 提升 ， 网 络 中 间 设 备 平台 和 逐渐 进入 网 络 设备 厂商 和 运营 商 的 视野 ， 成 为 网 络 服务 设备 实现 的 备 选 
平台 。 网 络 中 间 设 备 又 称 中 间 设 备 (Middlebox, MB) ， 它 能 为 网 络 流量 提供 安全 增强 、 性 能 提升 和 带宽 优化 等 多 种 监控 功 
能 。 中 间 设 备 主要 包括 防火 墙 、 入 侵 检测 /防御 系统 、 负 载 均衡 器 ， 以 及 虚拟 专用 网 和 广域网 代理 等 多 种 服务 型 网 关 [10]。 运 莒 商 
希望 利用 通用 硬件 来 减少 对 特定 硬件 平台 的 依赖 ， 将 网 络 功能 从 专用 硬件 设备 中 解 耦 出 来 ， 各 自 独 立 进 行 演进 ， 从 而 实现 根据 需 
要 动态 灵活 部 署 网 络 功能 。2012 年 10 月 ，AT&T、BT、DT、Orange 等 7 家 运营 商 在 欧洲 电信 标准 协会 (European 
Telecommunications Standards Institute, ETSI) 下 发 起 成 立 了 一 个 新 的 标准 工作 组 一 一 网 络 功 能 虚拟 化 (Network 
Function Virtualization, NFV) 工作 组 (1 中， 并 发 布 了 NFV 技 术 白皮书 (1 人 。 该 工作 组 的 主要 目标 是 希望 基于 虚拟 化 技术 ， 采 用 
通用 的 计算 、 存 储 和 网 络 硬件 ， 承 载 各 种 类 型 的 网 络 功 能 ， 实 现在 网 络 各 个 节点 灵活 部 署 配 置 ， 从 而 降低 业务 部 署 的 复杂 度 ， 最 
终 降 低 网 络 的 CAPEX 和 OPEX。 


自 2012 年 该 概念 提出 之 后 ，NFV 技 术 不 仅 在 标准 化 方面 推进 迅速 ， 在 实现 方案 上 也 快速 成 熟 。2012 年 ， 网 络 领域 的 顶级 国 
际会 议 SIGCOMM 上 有 一 篇 文章 对 中 间 设 备 在 实际 网 络 中 的 部 署 情况 进行 了 调查 ,调查 样本 包括 19 个 小 型 网 络 (终端 数量 少 于 
1000) 、18 个 中 型 网 络 (终端 数量 为 1000~10000) 、11 个 大 型 网 络 (终端 数量 为 10000~100000) 和 7 个 超大 型 网 络 (终端 数 


量 大 于 100000) ， 共 55 个 实际 网 络 环境 [13]。 如 图 1-1 所 示 ， 在 以 上 各 种 规模 的 网 络 环境 下 ， 中 间 设备 的 总 量 和 交换 设备 的 总 量 
相当 。 例 如 ， 在 超大 型 网 络 中 ， 路 由 器 的 平均 数量 为 2850 台 ， 而 中 间 设 备 的 平均 数量 为 1946 台 ; 在 小 型 网 络 中 ， 上 述 两 个 数据 
分 别 为 7.3 台 和 10.2 台 ， 中 间 设 备 总 数 甚至 超过 了 路 由 器 总 数 。 此 外 ， 在 所 有 中 间 设备 类 型 中 ， 网 络 安全 设备 占 了 绝 大 多 数 ， 而 
防火 墙 和 入 侵 检测 /防御 系统 也 分 列 平均 部 署 总 量 的 前 两 位 。 
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图 1-1 网 络 中 间 设 备 部 署 数量 


SDN 和 NFV 一 起 成 为 了 下 一 代 网 络 变革 的 核心 技术 。 作 为 全 球 领先 的 运营 商 ，AT&T 公 司 在 2013 年 9 月 发 布 的 pomain 2.0 
网 络 变革 计划 中 [1 入， 旗帜 鲜明 地 将 SDN 和 NFV 作 为 其 下 一 代 网 络 架构 的 关键 技术 ;同时 宣称 到 2020 年 ， 会 将 基于 SDN 和 NFV 
的 新 架构 运用 到 超过 75% 的 对 外 电信 网 络 服务 中 ， 并 彻底 转型 为 一 家 软件 公司 。 
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第 1 章 SDN 和 NFV: 下 一 代 网 络 的 变 


1.1 什么 是 SDN 和 NFV 


1.1.1 SDN/VNFV 诞 生 的 背景 


计算 机 网 络 的 高 速 发 展 催生 了 海量 的 网 络 应 用 ， 而 以 TCP/IP 协 议 为 核心 的 互联 网 早已 渗透 到 人 们 工作 、 生 活 的 各 个 领域 ， 
如 信息 化 系统 、 搜 索引 擎 、 电 子 商务 和 社交 了 网络 等 。 随 着 网 络 用 户 数量 的 急剧 增加 ， 网 络 规模 不 断 扩 大 ， 网 络 设备 承载 了 过 多 复 
杂 的 网 络 协议 。 由 于 传统 网 络 设备 大 都 以 封闭 硬件 的 形态 交付 和 部 署 ， 网 络 中 充斥 着 烟 钢 式 产品 形态 的 网 络 设备 。 因 此 ， 网 络 设 
备 的 封闭 性 增加 了 网 络 定制 与 优化 的 难度 ， 使 得 现 有 的 计算 机 网 络 在 丰富 的 网 络 应 用 面前 ， 越 来 越 突 显 其 架构 演进 的 局 限 性 。 


近年 来 ， 虚 拟 化 与 云 计算 技术 的 兴起 给 网 络 动态 性 提出 了 更 高 的 要 求 。 随 着 云 计 算 和 移动 互联 网 技术 的 飞速 发 展 ， 越 来 越 多 
的 网 络 业务 逐渐 向 云 数 据 中 心 迁移 ， 而 网 络 流量 也 随 之 呈 爆 发 式 增长 。 根 据 思科 《全 球 云 指数 (2013—2018) 》[ 的 预测: 
全 球 数据 中 心 的 网 络 流量 在 2018 年 将 达 8.6ZB (1ZB=220PB) ; 相 较 于 传统 数据 中 心 ， 云 数据 中 心 的 网 络 流量 占 比 将 从 2013 年 
的 54% 提 升 至 2018 年 的 76%; 从 流量 类 型 上 看 ，74.5% 的 网 络 流量 发 生 在 数据 中 心 内 部 。 网 络 业务 和 流量 的 快速 增长 极 大 地 提 
高 了 云 服务 商 对 云 数据 中 心 网 络 ， 尤 其 是 云 数据 中 心 内 部 网 络 的 管理 难度 。 另 一 方面 ， 云 计算 以 “租用 ”的 方式 改变 了 IT 资 源 的 
交付 手段 。 租 户 对 资源 “ 按 需 申请 ”和 “ 按 使 用 付费 ”， 使 得 部 署 在 云 数据 中 心 网 络 中 的 各 种 资源 处 于 持续 改变 的 状态 。 网 络 拓 
扑 的 动态 性 给 网 络 运 维 人 员 带 来 了 前 所 未 有 的 管理 挑战 。 


众多 网 络 领域 的 学 者 认为 ， 以 TCP/IP 为 基础 的 传统 自治 的 网 络 架 构 的 次 端 在 多 年 的 发 展演 进 中 逐渐 显露 ， 这 些 问 题 难以 通 
过 打 补 丁 的 方式 从 根本 上 得 到 解决 。 因 此 ， 网 络 架 构 的 重 构 势 在 必 行 。 重 构 的 新 的 网 络 体系 架构 一 方面 能 够 尽 可 能 地 考虑 当前 的 
各 种 需求 ， 另 一 方面 能 够 尽 可 能 地 满足 未 来 可 能 的 需求 。 这 种 架构 重 构 的 方案 在 学 术 界 被 称 为 “Clean Slate" 方案 外， 其 中 代 
表 性 的 工作 有 : 美国 的 GENI、 欧 盟 的 FIRE、 中 国 的 CEN1， 以 及 日 本 的 AKARI。 在 这 些 工作 中 ， 斯 坦 福 大 学 Nick Mckeown 教 授 
的 博士 生 Martin Casado 领 导 的 一 个 关于 网 络 安全 的 子 项 目 EthaneD 获得 了 广泛 的 关注 。 该 项 目 利 用 集中 的 网 络 控制 器 ， 定 义 
基于 网 流 粒度 的 全 网 安全 策略 ， 并 将 这 些 策略 动态 部 署 到 所 控制 的 交换 机 上 ， 从 而 实现 对 安全 的 管控 。 通 过 在 Ethane 工 作 的 基 
础 上 进行 抽象 ，Nick Mckeown 研 究 组 提出 将 传统 网 络 设备 的 控制 平面 与 数据 平面 在 物理 上 进行 分 离 ， 构 建 全 网 范围 内 集中 的 
控制 平面 ， 同 时 标准 化 网 络 设备 的 编程 接口 ， 进 而 实现 网 络 行为 的 可 定制 性 。 这 些 创 新 型 的 网 络 架 构 理念 ， 在 2008 年 发 表 
的 “OpenFlow: Enabling Innovation in Campus Networks" 一 文 由 中 得 到 了 系统 的 阐释 ，SDN (软件 定义 网 
络 ，Software Defined Network) 架构 和 OpenFlow 标 准 接口 就 此 形成 。SDN 技 术 P] 提 出 了 交换 设备 数据 平面 和 控制 平面 相 分 
离 的 网 络 体系 架构 。 通 过 逻辑 上 集中 的 控制 器 和 开放 、 标 准 的 交换 设备 编程 接口 ， 网 络 的 转发 行为 可 以 灵活 、 快 速 地 由 控制 器 上 
根据 业务 逻辑 编写 的 应 用 程序 来 定制 ， 从 而 极 大 地 方便 了 网 络 管理 ， 促 进 了 网 络 领域 的 研究 创新 。SDN 的 提出 在 网 络 领 域 迅速 
掀起 了 研究 与 应 用 的 热潮 。 为 了 进一步 推进 SDN 的 标准 化 ， 加 快 SDN 应 用 的 落地 ， 非 营利 性 组 织 性 质 的 开放 网 络 基金 会 (Open 
Networking Foundation, ONF) [o 于 2011 年 成 立 。 它 每 年 举办 的 开放 网 络 峰 会 (Open Networking Summit, ONS) Ub; 


聚 了 全 球 工业 界 最 前 沿 的 SDN 技 术 和 应 用 案例 ; 同时 ， 该 峰会 还 专门 设立 了 研究 通道 ， 供 学 术 界 和 工业 界 就 SDN 的 发 展 前 沿 进 
行 沟通 。 由 于 能 够 对 网 络 设备 实施 更 有 效 的 控制 ，SDN 技 术 在 校园 网 、 企 业 网 、 无 线 网 和 数据 中 心 网 络 等 多 种 环境 下 获得 了 广 
泛 的 实验 部 署 。SDN 最 成 功 的 实际 应 用 当 属 在 数据 中 心 网 络 环境 下 。 对 于 数据 中 心 的 内 部 网 络 ，SDN/OpenFlow 的 创始 团队 成 
立 了 网 络 初创 公司 Nicira， 瞄 准 云 数据 中 心 的 网 络 虚拟 化 需求 ， 提 出 了 基于 OpenFlow 软 件 交换 机 的 SDN 解 决 方案 ! 促 ， 得 到 了 虚 
拟 化 领域 的 巨头 VMware 公司 的 重视 ， 并 被 后 者 以 12.6 亿 美元 收购 。 对 于 数据 中 心 之 间 的 网 络 ， 互 联网 巨头 Google 公 司 利用 
OpenFlow 硬 件 交换 机 和 分 布 式 控制 器 ， 在 全 球 多 个 数据 中 心 之 间 实 施 流量 工程 ， 将 广域网 的 链 路 利用 率 从 30%~40% 提 升 至 接 
近 100%， 并 且 降 低 了 交换 机 的 网 包 缓存 需求 ， 使 得 网 络 状态 变 得 更 加 稳定 吕 


与 起 源 于 学 术 界 的 SDN 不 同 ， 网 络 领域 最 大 的 客户 群体 一 一 运营 商 ， 对 网 络 设备 ， 尤 其 是 网 络 服 务 设备 ， 有 着 另 一 番 认 
识 。 由 于 运营 商 所 提供 业务 的 多 样 性 ， 其 网 络 中 部 署 了 大 量 的 专用 硬件 设备 。 而 运营 商 每 开通 一 项 新 业务 ， 往 往 难以 对 已 有 的 硬 
件 资 源 进行 重新 利用 ， 必 须 采 购 新 的 网 络 硬件 设备 才能 实现 对 新 业务 的 支持 。 这 些 新 增 的 硬件 设备 消耗 了 机 房 和 电力 资源 ， 增 加 
了 运 莒 商 的 资本 性 支出 (Capital Expenditure, CAPEX) ; 同时 ， 不 同类 型 、 不 同 厂商 设备 的 管理 接口 和 功能 特性 通常 存在 差 
异 ， 运 营 商 在 进行 系统 集成 和 运 曹 维护 时 面临 着 较 高 的 复杂 性 ， 增 加 了 运营 商 的 运营 成 本 (Operating Expense, OPEX) 。 更 
为 严重 的 是 ， 随 着 技术 进步 速度 的 逐步 加 快 ， 网 络 设备 的 产品 生命 周期 逐渐 缩短 ， 从 而 加 快 了 产品 的 更 新 换代 ， 影 响 了 运营 商 利 
润 的 增长 。 


随 着 x86 服 务 器 性 能 的 不 断 提 升 ， 网 络 中 间 设备 平台 逐渐 进入 网 络 设备 厂商 和 运营 商 的 视野 ， 成 为 网 络 服务 设备 实现 的 备 选 
平台 。 网 络 中 间 设 备 又 称 中 间 设 备 (Middlebox，MB) ， 它 能 为 网 络 流量 提供 安全 增强 、 性 能 提升 和 带宽 优化 等 多 种 监控 功 
能 。 中 间 设 备 主要 包括 防火 墙 、 入 侵 检测 /防御 系统 、 负 载 均 衡器 ， 以 及 虚拟 专用 网 和 广域网 代理 等 多 种 服务 型 网 关 [10]。 运 营 商 
希望 利用 通用 硬件 来 减少 对 特定 硬件 平台 的 依赖 ， 将 网 络 功能 从 专用 硬件 设备 中 解 看 出 来 ， 各 自 独立 进行 演进 ， 从 而 实现 根据 需 
要 动态 灵活 部 署 网 络 功能 。2012 年 10 月 ，AT&T、BT、DT、Orange 等 7 家 运营 商 在 欧洲 电信 标准 协会 (European 
Telecommunications Standards Institute, ETSI) 下 发 起 成 立 了 一 个 新 的 标准 工作 组 一 一 网 络 功能 虚拟 化 (Network 
Function Virtualization, NFV) 工作 组 W1]， 并 发 布 了 NFV 技 术 白 皮 书 !14。 该 工作 组 的 主要 目标 是 希望 基于 虚拟 化 技术 ， 采 用 
通用 的 计算 、 存 储 和 网 络 硬件 ， 承 载 各 种 类 型 的 网 络 功能 ， 实 现在 网 络 各 个 节点 灵活 部 署 配 置 ， 从 而 降低 业务 部 署 的 复杂 度 ， 最 
终 降低 网 络 的 CAPEX 和 OPEX。 


自 2012 年 该 概念 提出 之 后 ，NFV 技 术 不 仅 在 标准 化 方面 推进 迅速 ， 在 实现 方案 上 也 快速 成 熟 。2012 年 ， 网 络 领域 的 顶级 国 
际会 议 SIGCOM M 上 有 一 篇 文章 对 中 间 设 备 在 实际 网 络 中 的 部 署 情况 进行 了 调查 ， 调 查 样 本 包括 19 个 小 型 网 络 (终端 数量 少 于 
1000) 、18 个 中 型 网 络 (终端 数量 为 1000~10000) 、11 个 大 型 网 络 (终端 数量 为 10000~100000) 和 7 个 超大 型 网 络 (终端 数 
量 大 于 100000) ， 共 55 个 实际 网 络 环境 [13]。 如 图 1-1 所 示 ， 在 以 上 各 种 规模 的 网 络 环境 下 ， 中 间 设 备 的 总 量 和 交换 设备 的 总 量 
相当 。 例 如 ， 在 超大 型 网 络 中 ， 路 由 器 的 平均 数量 为 2850 台 ， 而 中 间 设备 的 平均 数量 为 1946 台 ; 在 小 型 网 络 中 ， 上 述 两 个 数据 
分 别 为 7.3 台 和 10.2 台 ， 中 间 设 备 总 数 甚至 超过 了 路 由 器 总 数 。 此 外 ， 在 所 有 中 间 设备 类 型 中 ， 网 络 安全 设备 占 了 绝 大 多 数 ， 而 
防火 墙 和 入 侵 检测 /防御 系统 也 分 列 平均 部 署 总 量 的 前 两 位 。 
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图 1-1 网 络 中 间 设 备 部 署 数量 


SDN 和 NFV 一 起 成 为 了 下 一 代 网 络 变革 的 核心 技术 。 作 为 全 球 领先 的 运营 商 ，AT&T 公 司 在 2013 年 9 月 发 布 的 pomain 2.0 
网 络 变革 计划 中 [1 入， 旗帜 鲜明 地 将 SDN 和 NFV 作 为 其 下 一 代 网 络 架构 的 关键 技术 ;同时 宣称 到 2020 年 ， 会 将 基于 SDN 和 NFV 
的 新 架构 运用 到 超过 75% 的 对 外 电信 网 络 服务 中 ， 并 彻底 转型 为 一 家 软件 公司 。 
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1.2 学 术 界 前 沿 研 究 方向 


1.2.1 ”SDN 研究 方向 


学 术 界 对 于 SDN 的 研究 分 类 大 都 与 其 体系 结构 相对 应 ， 如 参考 文献 (1 主要 从 数据 平面 、 控 制 平面 和 应 用 场景 3 个 方面 进行 
分 析 。 在 基础 设施 层 ， 由 于 SDN 将 复杂 的 控制 平面 剥离 ， 因 此 该 层 上 的 研究 方向 较为 有 限 ， 主 要 包括 交换 机 处 理 流程 的 设计 与 
实现 、 转 发 规则 对 交换 机 流 表 的 高 效 利用 ， 以 及 交换 机 流 表 正确 性 的 验证 等 。 在 控制 层 ， 研 究 工作 主要 包括 单 点 控制 器 设计 、 集 
群 控制 器 架构 、 控 制 器 接口 和 模型 设计 、 控 制 器 部 署 位 置 、 控 制 器 的 分 布 式 系统 特性 、 控 制 器 安全 等 。 在 应 用 层 ， 研 究 方向 可 以 
分 为 网 络 安全 、 服 务 质 量 、 负 载 均 衡 、 流 量 工程 等 ， 以 及 在 企业 网 、 校 园 网 、 数 据 中 心 、 无 线 网 络 、 广 域 网 等 不 同 场景 下 的 应 
用 。 


1 .数据 平面 


作为 基础 设施 层 的 核心 元 素 一 一 交换 机 ， 其 主要 功能 是 匹配 和 转发 网 包 。 基 于 硬件 的 实现 方式 ， 转 发 性 能 高 、 功 耗 低 ,但 
可 扩展 性 差 ;而 基于 网 络 处 理 器 或 通用 处 理 器 的 实现 方式 ， 转 发 性 能 较 硬件 实现 方式 低 一 两 个 数量 级 ， 但 是 具备 非常 强 的 灵活 
性 。 因 此 ， 交 换 机 处 理 流程 的 设计 和 实现 ， 主 要 是 在 上 述 两 者 之 间 进 行 折 中 。 同 时 ， 基 于 OpenFlow 的 SDN 交 换 机 流 表 匹配 宽度 
远 超 传统 交换 机 ， 在 保证 成 本 功 耗 的 前 提 下 ， 同 样 容 量 的 存储 芯片 可 支持 的 流 表 数 目 大 幅 下 降 ， 如 何 提高 交换 机 流 表 利 用 率 就 成 
为 转发 规则 相关 研究 的 另 一 问题 。 


(1) 交换 机 设计 


由 于 新 的 网 络 应 用 和 网 络 协议 不 断 出 现 ，SDN 交 换 机 需要 支持 更 多 协议 格式 的 网 包 解析 。 以 支持 OpenFlow 的 SDN 交 换 机 
为 例 ， 其 所 需 解 析 的 网 包 包头 域 的 数量 已 经 由 1.0 版 本 B] 的 12 个 增加 到 1.4 版 本 内 的 41 个 ， 而 且 这 个 过 程 远 未 停止 。 因 此 ， 学 术 界 
认为 应 当 将 交换 机 的 包头 解析 功能 设计 成 可 配置 式 的 ， 而 不 依赖 于 特定 的 网 络 协议 。 同 时 ， 当 前 不 少 SDN 应 用 以 流水 线 的 方式 
解析 网 包 P]， 未 来 SDN 交 换 机 需要 支持 在 多 表 上 串 行 或 并 行 查询 的 灵活 配置 。 除 了 网 包 解析 过 程 之 外 ， 未 来 SDN 交 换 机 对 网 包 
处 理 的 操作 也 要 考虑 扩展 性 ， 除 了 经 典 的 转发 、 丢 弃 、 限 速 、 打 标 等 操作 ， 还 需要 支持 对 网 包 包头 任意 域 的 修改 ， 以 及 匹配 过 程 

变量 修改 的 相关 操作 。 来 自 OpenFlow 研 究 团队 的 P4[o 和 来 自 华为 公司 的 POF/] 是 该 方向 的 突出 成 果 。 两 者 几乎 在 同一 时 间 
提出 ， 所 不 同 的 是 P4 面 向 的 是 基于 芯片 的 实现 方式 ， 而 POF 是 基于 网 络 处 理 器 的 方案 。 通 过 对 匹配 域 、 流 水 查找 、 网 包 操作 等 
交换 机 处 理 网 包 的 主要 任务 进行 进一步 拆 分 ， 并 以 可 灵活 配置 、 拼 接 的 方式 实现 ， 未 来 SDN 交 换 机 相 比 OpenFlow 交 换 机 能 够 更 
快 地 实现 新 的 应 用 需求 。 


(2) 流 表 优 化 


由 于 OpenFlow 交 换 机 流 表 数 目的 限制 ，SDN 控 制 器 色 程 序 难以 在 大 规模 的 网 络 环境 中 静态 部 署 全 部 的 表 项 。 如 果 采 用 动态 
部 署 的 方式 ， 则 流 表 与 交换 机 之 间 的 通信 性 能 直接 受到 交换 机 控制 平面 CPU 能 力 的 限制 : 一 方面 ， 带 宽 指标 难以 达到 数据 平面 
的 量 级 ， 另 一 方面 ， 延 时 也 会 受到 控制 器 性 能 和 控制 网 络 状态 的 影响 。DevoFlow 加 的 工作 从 数据 中 心 流量 特性 的 角度 出 发 ， 针 
对 性 地 对 流量 进行 优化 。 在 实际 数据 中 心 网 络 中 ， 导 致 网 络 拥塞 的 流量 可 能 只 占 10%， 而 这 些 流量 占 总 流量 大 小 的 90%， 被 称 为 
Ami (Elephant Flow) ， 其 余 流 量 被 称 为 老鼠 流 (Mice Flow) 。DevoFlow 通 过 定期 采样 统计 流量 ， 检 测 大 象 流 并 对 其 进 
行 标记 ， 之 后 集中 对 这 些 流量 采用 动态 负载 均衡 、 多 路 径 等 流量 工程 技术 进行 优化 。 


此 外 ， 在 SDN 架 构 中 ， 由 于 控制 平面 和 数据 平面 在 物理 上 进行 了 分 离 ， 控 制 平面 向 数据 平面 的 多 个 交换 机 上 部 署 规则 时 ， 
会 存在 延 时 和 不 一 致 的 问题 : 部 分 交换 机 上 已 部 署 了 新 的 规则 ， 而 其 他 交换 机 上 仍然 保留 着 原 有 的 规则 。Reitblatt 等 人 


{E "Abstractions for Network Update”[110| 一 文中 提出 采用 分 布 式 系统 设计 中 经 典 的 两 阶段 提交 方式 来 更 新 规则 ， 并 通过 给 
数据 包 打 标 签 的 方式 来 标识 新 旧 规 则 的 版 本 。 具 体 来 说 ， 在 第 一 阶段 ， 控 制 器 向 拟 更 新 的 交换 机 发 送 消息 ， 以 确定 完成 对 应 旧 规 
则 的 处 理 ， 并 对 处 理 完成 的 交换 机 进行 规则 的 更 新 ;在 第 二 阶段 ， 等 待 所 有 更 新 的 交换 机 返回 更 新 成 功 的 消息 ， 否 则 取消 该 更 新 
操作 。Katta 则 在 “Incremental Consistent Updates” [1 一 文中 将 上 述 过 程 拆 分 为 多 轮 进行 ， 每 一 轮 都 采用 两 阶段 提交 的 方 
式 进 行 更 新 。 

2. 控 制 平面 


(1) 控制 器 设计 实现 


控制 层 是 整个 DN 架 构 的 核心 。 控 制 器 也 可 称 为 网 络 操作 系统 ， 是 SDN 控 制 层 研究 的 一 个 主要 内 容 。NOXI12] 是 首 个 
OpenFlow 控 制 器 ， 它 在 OpenFlow 协 议 的 基础 上 进行 了 封装 ， 提 供 了 基于 网 络 事件 触发 的 编程 模型 ， 以 及 应 用 模块 动态 加 载 与 
组 合 的 运行 机 制 ， 并 支持 多 种 开发 语言 。NOX 给 出 了 OpenFlow 控 制 器 的 原型 ， 后 续 的 单机 控制 器 均 参 考 了 NOX 的 实现 。 
MOX-MTI13 针 对 NOX 单 线程 处 理 方式 造成 的 处 理性 能 过 低 ， 改 进 了 网 络 收发 模块 ， 并 对 处 理 中 的 宛 余 环 节 进 行 了 优化 ， 实 现 
了 多 线程 的 事件 处 理 。ONIXL14 首 次 提出 了 分 布 式 SDN 控 制 器 ， 并 系统 地 对 SDN 的 编程 模型 及 API 进 行 了 阐述 。ONIX 控 制 器 中 
维护 了 一 个 网 络 信息 库 (Network Information Base, NIB) ， 该 库 中 保存 了 有 关节 点 、 链 路 、 拓 > 扑 等 信息 的 全 局 网 络 视图 ， 
并 综合 采用 分 布 式 散 列表 (Distributed Hash Table, DHT) 和 事务 型 数据 库 等 多 种 手段 来 更 新 视图 ; 基于 该 视图 ，ONIX 抽 象 
出 多 类 AP1， 用 于 管理 网 络 状态 。Kandool1?] 是 一 个 层次 化 的 分 布 式 SDN 控 制 器 框架 ， 它 根据 网 络 状态 变更 事件 产生 的 频率 ， 设 
计 了 本 地 控制 器 和 根 控制 器 两 种 类 型 ， 分 别 用 于 处 理 高 频率 、 局 部 的 网 络 状态 变更 事件 和 低频 率 、 全 局 的 网 络 状态 变更 事件 。 
ONOS[16 是 来 源 于 学 术 界 的 最 新 网 络 操作 系统 ， 以 AT&T 公 司 的 中 心 局 的 数据 中 心 化 重 构 (Central Office Re-architectured 
as Data Center, CORD) 项 目 为 支撑 进行 卿 化 。 该 网 络 操作 系统 提供 高 可 扩展 性 、 高 可 靠 性 及 高 稳定 性 ， 实 现 了 运营 商 级 
SDN 控 制 器 平台 的 特征 。 


(2) 编程 模型 


Freneticl1 J 在 NOX 的 基础 上 实现 了 声明 性 的 网 络 状态 查询 框架 。 它 向 上 以 类 似 SQL 格 式 的 语句 定义 设备 状态 查询 需求 ， 向 
下 将 高 层 的 查询 需求 转换 成 OpenFlow 控 制 指令 ， 下 放 到 OpenFlow 交 换 机 上 。T.L.Hinrich 提 出 了 基于 网 流 级 别 的 网 络 策略 管理 
语言 FMLL18。 由 于 访问 控制 、 地 址 转换 、 策 略 路 由 等 不 同 应 用 场景 的 策略 描述 不 尽 相 同 ， 而 不 同 厂商 设备 在 策略 配置 模式 上 的 
异 更 加 恶化 了 上 述 情况 ， 因 此 ，FML 被 设计 成 以 一 种 统一 、 细 粒度 的 策略 描述 来 取代 当前 不 同 的 策略 定义 方式 。 为 了 解决 
FML 只 能 处 理 静态 网 络 策略 的 局 限 ，Proceral13] 基 于 函数 响应 式 编程 (Functional Reactive Programming, FRP) 实现 了 动 
态 网 络 策略 的 描述 方式 ， 该 方式 能 够 方便 、 直 观 地 表述 和 实现 网 络 策略 中 与 时 间 变 化 相关 的 特性 ， 因 而 能 够 较 好 地 适应 诸如 
SDN 等 动态 变化 的 网 络 环境 。 


3. 应 用 场景 


SDN 由 于 其 高 度 灵活 的 可 编程 性 ， 在 网 络 领域 的 大 量 应 用 场景 中 得 以 部 署 测试 。 校 园 网 环境 是 OpenFlow/SDN 最 早 提出 的 
应 用 场景 ， 包 括 Ethane 的 访问 控制 、Resonance 的 网 络 准 入 [*0l 等 。 在 数据 中 心 ，PSwitchL*1]/SIMPLEL* 人 4 侧重 利用 SDN 技 术 解 
决 中 间 设 备 的 部 署 问 题 ，VMware NSX 团 队 则 完整 展示 了 其 基于 SDN 的 网 络 虚拟 化 平台 方案 23]， 包 括 数据 平面 和 控制 平面 的 设 
计 。 在 数据 中 心 互联 方面 ， 来 自 于 Google 公 司 的 B4 和 来 自 于 Microsoft 公 司 的 9 DWAN[24 则 是 代表 工作 。 控 制 器 通过 SDN 获 取 
全 局 信息 ， 并 采用 ECMP 技 术 来 保证 流量 动态 平衡 ， 使 得 链 路 的 利用 率 达到 60%~ 100%。 在 无 线 领域 ，OpenRadio5] 借 鉴 了 
SDN 数 据 平面 和 控制 平面 分 离 的 思想 ， 将 无 线 网 络 设计 分 为 处 理 平面 和 决策 平面 ， 并 引入 了 针对 无 线 网 络 设备 的 可 编程 接口 。 
BeHopl*6] 利 用 SDN 技 术 解决 密集 WiFi 牙 盖 的 问题 ， 其 部 署 的 原型 系统 承载 了 真实 用 户 的 流量 ， 实 现 了 终端 在 多 种 网 络 之 间 的 灵 


活 切 换 ， 并 为 不 同 网 络 节点 设置 白 黑 名 单 进行 接 入 控制 。 
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1.3 产业 界 相 关 进 展 


虽然 SDN 的 概念 是 学 术 界 首先 提出 的 ， 但 其 目的 是 为 了 解决 实际 网 络 的 很 多 问题 ， 所 以 它 一 开始 就 受到 了 产业 界 的 关注 ; 
而 NFV 本 身 就 是 随 着 虚拟 化 的 发 展 伴生 的 技术 ， 特 别 是 其 通过 软件 进行 功能 编排 的 特性 ， 受 到 了 长 期 被 硬件 设备 困扰 的 运营 商 
的 青睐 。 


第 2 草 ”SDN/NFV 环 境 中 的 安全 问题 


本 章 主要 阐述 SDN 新 型 网 络 中 存在 的 安全 问题 ， 如 SDN 本 身 的 安全 问题 、 虚 拟 化 对 传统 网 络 安全 机 制 带 来 的 挑战 ， 以 及 实现 
计算 、 存 储 和 网 络 自动 化 运 维 后 对 安全 解决 方案 带 来 的 挑战 。 


2.1 架构 安全 


SDN 强 调 了 控制 平面 的 集中 化 ， 从 架构 上 颠覆 了 原 有 的 网 络 管 理 ， 所 以 SDN 的 架构 安全 就 是 首先 要 解决 的 问题 。 例 
如 ，SDN 实 现 中 网 络 控制 器 相关 的 安全 问题 。 


2.2 协议 安全 


本 节 阐述 OpenFlow 等 南北 向 协议 中 人 存在 的 安全 问题 。 


2.3 ”资源 安全 


在 新 型 网 络 中 ，SDN 可 通过 南 向 /北向 协议 控制 流量 转发 ， 网 络 虚拟 化 (Network Virtualization, NV) 和 NFV 则 负责 网 络 
中 各 种 资源 的 准备 和 就 绪 。 网 络 资源 安全 中 最 重要 的 部 分 是 保证 资源 的 可 用 性 。 


24 应 用 安全 


SDN/NFV 网 络 的 安全 除了 其 架构 安全 、 协 议 安全 和 资源 安全 外 ， 最 重要 的 是 部 署 在 实际 场景 中 的 各 类 应 用 的 安全 。 


2.5 ”系统 实现 安全 


SDN 架 构 包 括 应 用 、 控 制 器 、 交 换 机 ， 以 及 管理 系统 ; 虚拟 化 系统 包括 控制 节点 、 管 理 节点 、 存 储 节点 和 计算 节点 ， 这 些 
组 件 背 后 运行 的 都 是 软件 ， 而 软件 就 可 能 含有 脆弱 性 ， 从 而 被 攻击 者 利用 并 获得 非 授权 的 访问 权限 ， 从 而 阻 断 或 恶意 操纵 流量 。 


例如 ， 目 前 大 部 分 白 牌 交换 机 都 运行 基于 Linux 的 开放 操作 系统 ， 一 些 使 用 了 不 安全 的 Telnet 服 务 ， 或 使 用 了 默认 用 户 名 密 
码 的 SSH 服 务 ， 还 有 一 些 使 用 明文 通信 ， 导 致 攻击 者 很 容易 入 侵 这 些 服务 。 即 便 系统 设计 和 部 署 没 有 问题 ， 若 服务 本 身 存在 漏 
洞 ， 如 很 多 服务 使 用 SSL 对 通信 进行 加 密 ， 但 一 些 使 用 了 过 时 的 、 存 在 漏洞 的 SSL 实 现 ， 如 | 旧版 本 的 OpenSSL 的 心脏 滴 血 

(Heartbleed, CVE-2014-0160) 漏洞 ， 则 在 SDN 网 络 中 可 能 泄露 SDN 控 制 器 的 信息 ， 在 虚拟 化 系统 中 可 能 会 泄露 租户 的 隐私 
信息 ， 对 整个 系统 带 来 了 极 大 的 风险 。 


在 一 些 云 计算 系统 中 ， 数 据 网 络 可 能 与 管理 或 控制 网 络 共 享 。 也 就 是 说 ， 租 户 可 以 访问 3DN 或 虚拟 化 系统 的 控制 节点 ， 在 
获得 控制 平面 的 权限 后 ， 即 可 操纵 底层 的 路 由 器 绕 过 部 署 在 某 处 的 安全 设备 。 


需要 说 明 的 是 ， 开 发 一 个 软件 系统 的 过 程 中 ， 在 架构 、 协 议和 应 用 等 方面 可 以 做 大 量 的 安全 性 设计 ， 但 是 在 系统 实现 的 过 程 
中 ， 离 不 开 人 的 因素 ， 所 以 当 系统 越 大 、 涉 及 的 组 件 越 多 、 第 三 方 应 用 越 不 可 控 时 ， 就 应 假定 该 系统 是 不 安全 的 。 这 就 需要 人 们 
使 用 脆弱 性 评估 、 渗 透 测试 和 安全 检测 等 方式 ， 不 断 发 现 系统 的 问题 并 及 时 修复 。 不 仅 是 SDN 和 虚拟 化 系统 ， 其 他 通用 软件 系 
统 也 是 如 此 。 


第 3 章 ” 用 软件 定义 的 理念 做 安全 


从 网 络 安全 的 角度 ，SDN 带 来 的 影响 是 深远 的 。 一 方面 ， 灵 活 的 网 络 技术 给 安全 防护 带 来 了 新 的 思路 ， 提 高 了 安全 防护 的 效 


A; 另 一 方面 ， 软 件 定义 的 思维 也 给 传统 的 安全 防护 体系 带 来 了 架构 上 的 冲击 。 


3.1 不 进 则 退 ， 传 统 安全 回 到 “石器 时 代 ” 


现代 的 云 计 算 信息 系统 中 ， 人 们 通过 高 效 的 分 布 式 计算 、 分 布 式 存储 和 软件 定义 网 络 技术 ,构建 了 软件 定义 的 数据 中 心 ， 但 
是 传统 安全 系统 的 检测 、 响 应 和 防护 机 制 还 停留 在 落后 的 人 工 配 置 、 有 限 应 用 接口 和 单机 工作 的 阶段 ， 完 全 不 能 满足 云 计算 系统 


的 需求 。 与 其 他 方面 自动 化 、 敏 捷 的 上 T 运 维 相 比 ， 传 统 安全 仿佛 回 到 了 “石器 时 代 ” ， 完 全 不 适应 现代 社会 的 IT 基础 设施 。 


32 ”软件 定义 : 是 否 是 银 弹 


SDN/NFV 技 术 可 以 动态 编排 虚拟 安全 资源 ， 并 自动 化 数据 流向 ， 为 云 计算 系统 中 的 安全 防护 带 来 了 机 遇 。 


第 4 章 “” 什 么 是 软件 定义 安全 


本 章 阐 述 什么 是 软件 定义 安全 ， 包 括 软 件 定义 安全 架构 的 理论 部 分 ， 以 及 实现 该 体系 的 支撑 技术 。 


41 ”软件 定义 安全 的 含义 
4.1.1 软件 定义 安全 的 提出 


原 有 的 安全 体系 基于 固定 边界 的 基础 ， 并 且 大 量 依赖 “物理 的 ”方法 论 ， 如 硬件 安全 设备 、 对 物理 拓扑 的 分 区 控制 ， 以 及 数 
据 和 应 用 资产 物理 位 置 的 相近 特点 。 但 虚拟 化 、 云 计算 、 软 件 定 义 架 构 的 出 现 ， 对 安全 体系 提出 了 新 的 挑战 。 从 3.1.2 节 可 知 ， 
如 果 要 跟 上 网 络 演进 的 步伐 和 业务 快速 创新 的 速度 ， 安 全 体系 应 该 朝 以 下 方向 演变 。 


1. 安 全 机 制 软件 化 


安全 防护 机 制 的 部 署 应 从 硬件 层面 的 采购 、 安 装 和 调试 提升 到 软件 层面 的 调度 、 下 发 和 远程 快速 版 本 更 新 ， 从 大 量 人 工 参 与 
到 更 多 地 由 软件 完成 自动 分 析 、 按 需 调 度 和 动态 部 署 。 系 统 应 该 有 能 力 根据 多 种 因素 (如 高 层 安 全 策略 、 软 件 定义 的 网 络 环境 、 
动态 的 用 户 资产 、 快 速 更 新 的 大 量 威胁 情报 ) ， 自 适应 地 自动 调度 和 部 署 安全 防护 机 制 ， 以 提供 快速 响应 能 力 和 按 需 动态 防护 。 


2. 接 口 开放 ， 易 扩展 


新 的 安全 架构 要 打破 封闭 僵化 的 榨 覆 ， 为 第 三 方 和 全 产业 链 提供 开放 接口 ， 以 支持 快速 的 安全 能 力 创新 ， 便 于 扩展 新 的 安全 
服务 ， 对 业务 需求 的 变化 作出 快速 响应 。 

3. 架 构 功能 分 离 

功能 分 离 是 接口 开放 的 前 提 ， 安 全 功能 不 应 被 禁 铀 在 一 个 个 封闭 的 黑 合 中， 安全 产品 不 应 实现 全 功能 栈 。 很 多 定制 开发 的 功 
能 可 以 独立 于 安全 产品 之 外 的 组 件 形态 ， 调 用 安全 产品 的 应 用 接口 ， 即 可 实现 多 种 复杂 的 组 合 功能 。 


随 着 SDN 的 逐渐 商用 ， 它 在 架构 层面 的 功能 分 离 、 开 放 API 接 口 和 基于 软件 的 弹性 部 署 优势 受到 了 广泛 关注 ， 并 被 扩展 到 其 
他 领域 ， 因 此 出 现 了 软件 定义 存储 、 软 件 定义 数据 中 心 、 软 件 定 义 系统 等 概念 ， 将 这 些 网 络 演进 的 特征 应 用 于 安全 运 维 领域 ， 就 
产生 了 软件 定义 安全 (Software Defined Security, SDS) 概念 。 从 软件 定义 安全 的 定义 提出 至 今 ， 不 同 的 企业 和 组 织 对 软件 


定义 安全 也 作出 了 不 同 的 解释 。 

著名 咨询 机 构 Gartner 于 2012 年 最 先 在 “The Impact of Software-Defined Data Centers on Information Security" — 
文 [1 中 提出 软件 定义 安全 ， 通 过 分 离 安全 数据 平面 与 控制 平面 ， 将 物理 及 虚拟 的 网 络 安全 设备 与 其 接 入 模式 、 部 署 方式 、 实 现 功 
能 进行 解 厢 ， 在 底层 将 物理 及 虚拟 的 网 络 安全 设备 抽象 为 安全 资源 池 ， 顶 层 统一 通过 软件 编程 的 方式 进行 智能 化 、 自 动 化 的 业务 
编排 和 管理 ， 以 完成 相应 的 安全 功能 ， 从 而 实现 灵活 的 安全 防护 机 制 ， 以 应 对 软件 定义 数据 中 心 和 新 型 |T 系 统 的 安全 防护 需求 。 


在 具体 实践 中 ， 由 于 每 家 企业 都 有 自己 的 专注 领域 和 技术 积累 ， 所 以 在 诠释 软件 定义 安全 概念 时 ， 侧 重点 不 尽 相同 。 


有 些 厂 商 将 软件 定义 安全 理解 为 加 快 安全 资源 交付 和 就 绪 (Provision) 的 速度 ， 它 们 提供 虚拟 化 的 安全 资源 池 方 案 ， 通 过 
云 的 方式 或 在 云 内 提供 虚拟 化 的 安全 服务 。 例 如 ， 前 述 的 Openstack 标 准 防火 墙 ， 即 FWaas 服 务 ， 山 石 、VARMOR 和 绿 盟 都 提 
供 商用 的 FWaas 解 决 方案 ， 该 方案 在 网 络 节点 内 部 嵌入 了 虚拟 化 防火 墙 ， 使 得 整个 访问 控制 机 制 的 生效 时 间 缩 短 到 分 钟 级 ， 这 
与 以 往 需要 数 月 才能 完成 一 台 防 火 墙 部 署 显然 有 了 质 的 飞跃 。 


相似 地 ， 新 兴 公 司 Embrane 的 软件 定义 架构 称 为 Heleos， 其 本 质 上 也 更 侧重 于 NFV， 它 的 产品 核心 是 利用 虚拟 设备 代替 原 
有 的 硬件 设备 ， 将 虚拟 设备 的 控制 和 管理 集中 在 一 个 统一 的 弹性 服务 管理 平台 ESM 上。 这 种 方式 能 更 快 地 为 客户 提供 服务 、 适 
应 不 断 变化 的 需求 、 降 低 成 本 ， 从 而 提高 运营 效率 。 


有 的 厂家 将 软件 定义 安全 理解 为 安全 运 维 的 自动 化 。 例 如 ，Securosis 是 一 家 研究 安全 市 场 的 公司 ， 它 在 研究 报告 中 给 出 了 
一 个 利用 现 有 市 场 产品 Amazon AWS (Amazon Web Services) 和 Chef 完 成 软件 定义 安全 的 实现 样 例 ， 其 中 展现 的 功能 是 如 
何 确保 企业 网 络 中 各 服务 器 的 安全 策略 合 规 性 ， 如 检测 不 受 云 平台 管理 的 服务 器 、 自 动 下 发 安全 策略 。 其 具体 做 法 是 : 编写 一 个 
脚本 ， 通 过 AWS API 获 取 当 前 正在 运行 的 实例 列表 ， 并 利用 Chef API 从 Chef 服 务 器 获取 受到 管理 的 服务 器 列表 ， 对 获取 的 两 张 
列表 进行 简单 的 比 对 ， 寻 找 差 异 ， 就 能 检索 出 当前 接 入 云 计 算 平台 却 未 受 管理 的 服务 器 ， 再 利用 Chef 实 现 基本 的 安全 策略 配置 
管理 ， 自 动 下 发 配置 脚本 ， 使 得 整个 运 维 过 程 摆脱 了 繁琐 的 人 工 配 置 和 操作 ， 降 低 了 出 错 的 可 能 性 。 


一 些 新 兴 创 新 公司 和 老牌 安全 厂家 实现 了 架构 层面 的 软件 定义 安全 ， 努 力 实践 软件 定义 安全 的 更 多 特性 。 例 
如 ，CloudPassage 认 为 软件 定义 安全 是 一 种 架构 ， 具 有 抽象 、 自 动 化、 编排 、 按 需 弹性 部 署 和 应 用 接口 的 特性 ， 安 全 功能 被 抽 
象 成 独立 于 底层 硬件 、 网 络 环境 的 Saas 服 务 ， 控 制 功能 从 拓扑 、 硬 件 和 物理 位 置 等 物理 元 素 中 解 耦 并 抽象 出 来 ， 使 安全 机 制 更 
和 谐 地 应 用 于 软件 定义 的 架构 模型 。 


Fortinet 公 司 的 软件 定义 安全 由 数据 平面 、 控 制 平 面 和 管理 平面 3 个 平面 组 成 ， 它 把 “软件 定义 化 ”作为 实现 安全 运 维 灵活 
弹性 的 一 种 手段 ， 其 特点 是 对 底层 设备 进行 抽象 统一 。Fortinet 公 司 的 软件 定义 安全 和 Gartner 公 司 一 样 ， 侧 重 于 和 数据 中 心 方 
案 的 结合 ， 但 它 对 软件 定义 安全 的 定义 并 不 强调 与 SDN 的 联系 ， 而 Gartner 公 司 在 它 的 报告 中 ， 将 SDS 与 SDN 紧 密 地 关联 起 来 ， 
认为 SDS 的 一 个 重要 特征 是 应 能 提供 SDN 网 络 的 安全 防护 。 


Check Point 公 司 的 软件 定义 安全 防护 SDP 也 是 一 个 3 层 架 构 ， 提 供 安 全 的 、 模 块 化 的 、 灵 活 的 安全 架构 ， 它 包括 可 靠 的 执 
行 层 ， 智 能 的 、 快 速 自 适应 的 控制 层 和 具有 灵活 编排 能 力 的 管理 层 ， 从 而 为 用 户 提供 实时 的 主动 防御 。 


Catbird 公 司 的 软件 定义 安全 架构 通过 微分 段 (Micro-segmentation) 在 虚拟 化 环境 中 划分 不 同 的 域 ， 通 过 编排 将 安全 策 
略 下 发 给 多 种 类 型 的 安全 设备 ， 并 作用 在 区 域 级 别 或 虚拟 机 级 别 。Catbird 公 司 将 系统 分 为 两 层 ， 一 层 将 所 有 资产 分 组 ， 组 成 
Catbird TrustZone， 一 层 收 集资 产 的 状态 信息 、 资 产 天 系 、 东 西向 数据 交互 ， 用 于 统计 分 析 。 该 系统 平台 能 即时 上 报 安 全 隐患 
和 处 理 报告 ， 并 且 资 产 分 组 保障 了 安全 策略 的 灵活 性 。 


总 之 ， 这 些 方案 有 的 具有 开放 性 ， 有 的 具有 快速 响应 能 力 ， 还 有 的 能 完成 自动 化 安全 运 维 ， 从 不 同 层 面 表现 出 了 软件 定义 的 


特征 。 


需要 指出 的 是 ， 目 前 提供 的 产品 和 解决 方案 基本 只 能 满足 本 小 节 开 头 介绍 的 软件 定义 安全 架构 需求 的 第 一 条 。 无 论 是 虚拟 化 
安全 设备 、 安 全 即 服务 、3 层 的 安全 架构 ， 其 提供 的 都 是 弹性 动态 部 署 和 安全 运 维 自动 化 ， 并 支持 虚拟 化 网 络 的 安全 防护 ， 仍 是 
单一 安全 产品 和 解决 方案 提供 商 的 封闭 系统 ， 在 安全 设备 、 安 全 服务 、 安 全 管理 、 控 制 能 力 等 方面 都 不 提供 开放 接口 。 学 术 界 则 
基于 SDN 网 络 对 软件 定义 安全 的 不 同 结构 进行 了 前 沿 性 的 探讨 。 


[1] Gartner. The Impact of Software-Defined Data Centers on Information Security[EB/OL].https://www. gartner.com/doc/2200415. 


4.2 ”软件 定义 安全 的 特点 


读者 可 能 会 好 奇 ， 软 件 定义 安全 具有 什么 样 的 特性 ， 与 以 往 的 安全 架构 有 什么 不 同 ， 值 得 业界 关注 呢 ? 


4.3 ”相关 支撑 技术 


要 实现 软件 定义 的 安全 架构 ， 离 不 开 底层 或 支撑 技术 。 下 面 介绍 相关 的 技术 。 


第 2? 章 ”软件 定义 的 安全 架构 


说 到 底 ， 软 件 定义 安全 从 来 就 不 是 一 个 标准 ， 其 至 还 算 不 上 事实 上 的 标准 。 它 是 企业 CISO (首席 信息 安全 官 ) 和 安全 运 维 
团队 心中 的 “乌托邦 ”， 所 以 给 出 任何 一 个 具体 的 软件 定义 安全 架构 都 是 不 安全 的 ， 因 为 人 们 往往 会 从 自己 的 经 验 出 发 ， 尝 试 挑 
战 这 种 架构 是 否 能 够 解决 自己 遇 到 的 问题 。 然 而 ， 本 章 还 是 需要 说 明 一 个 通用 的 软件 定义 安全 架构 应 该 具备 哪些 组 件 和 功能 


5.1. 软件 定义 安全 架构 


软件 定义 安全 架构 与 SDN 相 似 ， 包 括 安全 应 用 、 安 全 控制 平台 和 开放 安全 设备 3 部 分 ， 如 图 5-1 所 示 。 


安全 控制 平台 是 其 核心 组 件 ， 主 要 负责 安全 设备 的 资源 池 化 管理 、 各 类 安全 信息 源 的 收集 和 分 析 、 与 客户 业务 系统 对 接 ， 以 
及 相应 安全 应 用 的 策略 解析 和 执行 。 


安全 应 用 是 根据 特定 的 安全 需求 所 开发 的 程序 ， 它 利用 安全 控制 平台 的 开放 API 实 现 相应 的 安全 功能 


开放 安全 设备 就 是 传统 的 网 络 和 主机 安全 设备 ， 如 防火 墙 、IPSs 等 ， 它 们 逻辑 上 都 会 在 安全 控制 平台 的 管理 下 ， 形 成 各 类 资 
源 池 ， 对 外 提供 相应 的 安全 能 


运营 平台 APP 


图 5-1 软件 定义 安全 架构 


52 ”安全 系统 在 SDN 中 如 何 工作 


在 概念 上 ， 软 件 定义 安全 架构 强调 通过 将 安全 控制 平面 上 移 ， 使 得 安全 防护 策略 自动 下 发 ， 以 提高 安全 效率 。 但 考虑 到 借助 
SDN 技 术 可 以 方便 地 调度 流量 ， 而 结合 NFV 技 术 又 可 灵活 管理 安全 资源 ， 借 助 这 些 新 技术 ， 客 观 上 简化 了 安全 设备 部 署 的 难 
度 ， 可 在 较 短 时 间 内 搭建 起 安全 解决 方案 。 


5.3 ”利用 SDN 和 NFV 进 行 安全 管理 


如 5.2.2 节 所 述 ，SDN 技 术 可 以 被 用 于 控制 流量 ， 结 合 NFV 动 态 管理 虚拟 设备 的 特性 ， 就 能 设计 一 种 全 新 的 安全 防护 模式 : 
安全 系统 在 运行 时 动态 确定 安全 基线 (Baseline) ; 并 根据 当前 的 安全 需求 、 风 险 和 威胁 ， 将 需要 处 理 的 数据 流 依次 经 过 安全 资 
源 池 的 一 个 或 多 个 设备 ， 组 成 一 条 虚拟 的 防护 链 。 


由 于 4.3 节 中 已 讲解 了 实现 服务 链 的 相关 支撑 技术 ， 所 以 本 节 偏 重 方案 设计 ， 主 要 阐述 如 何 使 用 DN 和 NFV 技 术 恰 当地 部 署 
中 间 设 备 ， 技 术 原 理 方面 不 再 歼 述 。 


第 6 章 SDN 和 NFV 安 全 实践 


继续 第 5 章 的 话题 ， 本 章 通 过 案例 介绍 使 用 DN 和 NFV 做 一 些 有 具体 的 安全 防护 。 


6.1 基于 流 的 安全 防护 


本 节 介绍 多 种 基于 流 的 安全 检测 和 防护 机 制 ， 如 DDoS 检 测 、 端 口 扫描 等 。 


6.2 ”移动 办 公 环 境 的 访问 控制 


随 着 员工 智能 终端 日 益 增多 和 企业 减少 办 公开 支 的 需求 ，BYOD 已 经 成 为 企业 移动 办 公 的 重要 形式 。 然 而 ， 移 动 设备 接 入 位 
置 多 变 、 属 主 身份 复杂 ， 以 及 企业 网 络 的 传统 安全 控制 限于 静态 网 络 环境 等 因素 ， 都 给 访客 接 入 和 移动 办 公 的 安全 管理 带 来 了 诸 
多 限制 。 


在 传统 的 企业 网 络 访问 控制 机 制 中 ， 最 普遍 的 解决 方案 是 在 网 络 边界 部 署 访问 控制 设备 ， 如 防火 墙 ， 对 未 知 的 网 络 访问 进行 
限制 。 但 当 存 在 移动 设备 可 接 入 任意 网 络 位 置 时 ， 以 往 的 网 络 边界 被 打破 ， 所 以 在 BYOD 场 景 中 ， 不 能 将 访问 控制 机 制 部 署 在 某 
个 关键 位 置 ， 而 是 需要 将 安全 策略 统一 推送 到 全 网 的 所 有 相关 控制 点 。 此 外 ， 移 动 设备 变更 频繁 ,很 难 使 用 防火 墙 的 固定 规则 进 
行 日 常 运 维 。 为 了 不 给 安全 团队 带 来 太 多 的 日 常 维护 成 本 ， 整 个 访问 控制 机 制 需 要 更 加 灵活 。 


NAC (Network Admission Control) 通过 一 个 NAC 设 备 ， 将 安全 策略 统一 下 发 到 所 有 的 网 络 设施 中 ， 通 过 这 些 网 络 设 施 
识别 用 户 ， 评 估 设 备 与 安全 策略 的 兼容 性 ， 进 而 对 不 满足 安全 要 求 的 设备 进行 阻 断 、 隔 离 或 修复 ， 最 终 提供 安全 的 移动 访问 接 
入 。 然 而 ， 在 非 软 件 定义 的 环境 中 ，NAC 只 能 对 流 经 网 络 设备 上 的 某 IP 的 流量 进行 处 理 ， 无 法 提供 更 细 粒 度 的 流量 牵引 和 隔 
离 。 此 外 ， 这 种 方案 依附 于 特定 网 络 厂商 的 整体 解决 方案 ， 容 易 形成 厂商 锁定 ， 也 不 容易 与 其 他 安全 防护 手段 结合 。 


所 以 ， 在 企业 网 络 中 部 署 全 局 的 访问 控制 系统 ， 按 需 向 网 络 边界 下 发 安全 策略 ， 根 据 策 略 可 对 需 确 认 或 恶意 的 访问 做 细 粒 度 
的 接 入 检查 ， 并 根据 上 下 文 环境 自 适 应 地 提供 安全 防护 。 在 一 个 典型 的 BYOD 场 景 中 ， 如 公司 总 部 大 楼 ， 任 意 楼 层 的 公司 员工 都 
需 将 自己 的 手机 或 PAD 接 入 无 线 网 络 ， 并 实时 收发 邮件 或 访问 公司 内 部 的 各 类 资源 ， 同 时 ， 在 大 厅 和 若干 公共 区 域内 ,访客 可 
以 自由 接 入 网 络 ， 但 只 能 访问 公司 对 外 的 Web 服 务 和 Internet 服 务 。 


在 很 多 细 化 的 场景 中 ， 安 全 策略 还 可 能 基于 用 户 的 属性 ， 如 不 同 部 门 的 员工 也 有 规定 的 访问 资源 区 域 ; 实习 员工 限于 访问 某 
服务 器 上 的 公开 服务 ， 而 不 能 访问 该 服务 器 上 的 其 他 敏感 服务 ;在 一 些 高 安全 级 别 的 场景 中 ， 还 需要 将 这 些 端口 级 别 的 服务 访问 
数据 动态 、 有 序 地 牵引 到 多 个 安全 防护 设备 中 ， 诸 如 此 类 。 更 进一步 ， 为 了 防止 内 部 恶意 攻击 者 ， 还 需要 在 所 有 内 网 范围 内 进行 
访问 控制 ， 并 且 这 些 控制 规则 是 一 致 的 、 可 灵活 变化 的 。 


在 基于 SDN 的 设计 中 ， 只 需 有 一 个 集中 的 安全 控制 平台 、 一 个 SDN 控 制 器 和 一 个 有 足够 多 端口 的 SDN 交 换 机 ， 即 可 实现 基 
本 的 BYOD 访 问 控制 机 制 。 


在 部 署 阶段 ， 可 在 任意 物理 位 置 部 署 一 台 实 体 SDN 交 换 机 ， 然 后 在 所 有 需要 提供 无 线 接 入 的 位 置 放置 普通 的 无 线路 由 器 ， 


并 将 这 些 无 线路 由 器 通过 桥接 的 方式 直接 连接 到 SDN 交 换 机 。 根 据 所 需 网 络 服 务 ， 部 署 相 关 应 用 ， 如 DHCP 服 务 、 认 证 服务 、 网 
关 服 务 ， 以 及 相关 的 安全 服务 。 


在 初始 化 阶段 ， 安 全 控制 平台 通过 SDN 控 制 器 向 SDN 交 换 机 下 发 以 下 指令 。 

1) 允许 所 有 的 DHCP 和 DNS 请 求 。 

2) 将 所 有 HTTP 请 求 重 定向 到 认证 服务 器 。 

3) 抛弃 其 他 所 有 数据 包 。 

此 外 ， 配 置 DHCP 服 务 和 网 关 服 务 的 相关 参数 ， 使 移动 终端 能 获得 网 络 接 入 信息 ， 并 能 经 过 网 关 接 入 内 部 或 外 部 网 络 。 


运行 时 ， 用 户 的 移动 终端 X 首 先 连 接 上 无 线路 由 器 ， 发 送 DHCP 发 现 请 求 ， 数 据 包 经 过 SDN 交 换 机 到 达 DHCP 服 务 器 ， 最 终 
终端 获得 分 配 的 I|P 地 址 、 网 关 和 DNS 地 址 。 


此 时 终端 因为 规则 3 还 无 法 访问 网 络 资源 ， 当 用 户 通过 浏览 器 访问 任意 网 址 时 ，SDN 交 换 机 会 将 该 HTTP 连 接 重 定向 到 认证 
服务 器 A (假设 IP 地 址 为 111.0.0.64) 。 认 证 服务 器 运行 Web 服 务 ， 收 到 HTTP 请 求 后 对 URL (如 http://b.cn/b.html) 进行 重 
写 ， 变 为 http://111.0.0.64/login?url=http://b.cn/b.html。 这 样 用 户 的 浏览 器 就 会 出 现 认证 系统 A 的 登录 页 面 ，Web 服 务 可 直 
接 对 用 户 的 登录 信息 进行 验证 。 


认证 服务 器 的 验证 方式 可 以 有 多 种 形式 ， 如 LDAP 服 务 、 数 据 库 验证 及 手机 号 验证 等 。 当 然 ， 很 多 企业 有 专门 的 集中 目录 服 
务 存放 员工 信息 ， 那 么 通过 扩展 响应 的 认证 驱动 ， 可 以 直接 使 用 这 些 服务 进行 验证 。 


当 后 端 服务 通过 验证 后 ， 认 证 服务 器 就 能 获得 该 用 户 更 详细 的 信息 ， 包 括 其 身份 ， 如 图 6-5 所 示 。 随 后 ， 认 证 服务 器 将 这 些 
言 息 传递 给 访问 控制 应 用 ， 为 下 一 步 的 自 适应 访问 控制 做 基础 。 
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图 6-5 BYOD 的 基于 角色 的 访问 控制 


企业 中 的 访问 控制 最 常见 的 是 基于 角色 的 访问 控制 RBAC。 访 问 控制 应 用 获取 用 户 身份 后 ， 根 据 预 置 的 安全 策略 进行 授权 ， 
允许 其 访问 部 分 资源 ， 禁 止 其 访问 其 他 资源 。 

当 用 户 终端 xX 通过 授权 后 ， 认 证 服务 器 上 的 安全 应 用 通知 安全 控制 平台 ， 后 者 通过 SDN 控 制 器 向 SDN 交 换 机 下 发 以 下 规 
则 : “人 允许 源 为 X 的 数据 包 通 过 ， 动 作为 查询 SDN 控 制 器 。" 


最 终 ，X 发 出 的 数据 包 经 过 SDN 交 换 机 时 ， 通 过 PACKET_IN 发 往 SDN 控 制 器 。 控 制 器 根据 其 是 否认 证 、 认 证 后 的 身份 和 各 
种 属性 来 决策 该 终端 是 否 能 访问 目的 地 ， 以 及 到 目的 地 址 的 路 由 ， 下 发 相应 的 PACKET_OUT 和 改变 路 由 的 FLOW_MOD 数 据 
包 ， 以 决定 该 数据 包 是 正常 路 由 、 经 过 特定 安全 设备 ， 还 是 直接 丢弃 。 


整体 架构 如 图 6-6 所 示 。 
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图 6-6 SDN 环境 下 的 无 线 接 入 访问 控制 
这 种 基于 SDN 的 BYOD 接 入 的 优点 如 下 。 


1) 认证 机 制 是 全 局 的 、 实 时 的 和 一 致 的 ， 可 以 做 到 全 局 范围 内 的 访问 实时 控制 ， 而 且 基 于 标准 的 SDN/OpenFlow 协 议 进行 
控制 ， 可 做 到 网 络 设备 上 的 访问 控制 规则 是 一 致 的 。 


2) 这 种 架构 是 标准 的 ， 它 没有 给 无 线路 由 器 和 SDN 交 换 机 增加 额外 的 认证 模块 ， 认 证 服务 器 采用 标准 的 Web 服 务 ， 认 证 后 
端 也 支持 标准 的 认证 方式 。 


3) 这 种 架构 是 可 扩展 的 ， 可 根据 所 需 接 入 的 区 域 ， 按 需 增 加 无 线路 由 器 ， 也 可 根据 接 入 规模 增加 SDN 交 换 机 ， 只 需 保证 交 
换 机 可 连 到 SDN 控 制 器 即 可 。 


实现 初步 认证 后 ， 安 全 控制 平台 可 以 根据 用 户 身份 确定 其 访问 范围 ， 如 研究 员 只 能 访问 互联 网 、 公 司 公共 资源 和 研究 院 的 资 
源 ， 而 不 能 访问 销售 部 门 的 资料 。 并 且 在 认证 后 ， 安 全 控制 平台 还 可 以 通过 服务 链 ， 在 用 户 访问 网 络 资源 的 路 由 路 径 上 部 署 若 干 
深度 包 检 测 的 设备 ， 以 监听 其 访问 行为 ， 确 认 用 户 是 否 有 可 疑 或 恶意 行为 ， 进 而 调整 上 下 文 ， 并 做 动态 的 访问 控制 ， 详 见 7.2 


+ 


To 


6.3 抗 APT 的 协同 防护 


传统 安全 防御 机 制 在 APT 攻 击 下 缺乏 必要 的 检测 和 可 视 化 能 力 ， 因 此 近年 来 有 大 量 的 建 有 较 完善 防御 机 制 的 企业 被 恶意 攻击 
者 成 功 入 侵 。 例 如 ，2009 年 极光 行动 : 通过 APT 攻 击 Google 和 其 他 科技 公司 ， 目 的 似乎 是 试图 获取 存 取 权 限 并 党 试 修改 应 用 代 
码 ; 2011 年 RSA 公 司 的 部 分 SecurlD 动 态 密码 生成 器 被 窃取 ， 攻 击 者 进一步 攻击 使 用 SecurlD 双 因子 认证 的 客户 ， 窃 取 其 机 密 信 


息 ; 2014 年 美国 零售 巨头 Target 因 供应 链 服务 商 被 攻破 ， 导 致 其 内 部 4000 万 客户 的 信用 卡 信息 被 盗 取 。 当 很 多 公司 开始 部 署 私 
有 云 提 高 生产 效率 的 同时 ， 攻 击 面 扩展 到 了 企业 物理 区 域 以 外 ， 防 护 边界 变 得 模糊 ; 安全 产品 虚拟 化 的 滞后 、 安 全 设备 检测 点 不 
易 部 署 和 整体 安全 方案 的 复杂 ， 导 致 整体 的 安全 机 制 不 完善 ， 特 别 是 公有 云 用 户 往 往 是 中 小 企业 ， 无 法 在 安全 方面 大 量 投入 。 这 
类 攻击 导致 云 中 用 户 资料 泄密 、 纂 改 ， 企 业 的 业务 中 断 乃 至 声誉 受 损 ， 竞 争 力 霄 失 。 


已 有 一 些 公 司 开 始 研 究 抗 APT 攻 击 ， 并 开发 了 一 些 面向 文件 分 析 的 检测 产品 ， 除 集成 已 知 威胁 检测 技术 外 ， 还 使 用 了 动态 检 
测 技术 ， 可 不 依赖 传统 签名 技术 来 检测 未 知 威胁 的 能 力 ， 具 有 详尽 的 报警 信息 和 极 少 的 误 报 率 。 昌 然 这 些 设备 可 分 析 复 杂 的 攻击 
模式 ， 但 需要 较 多 资源 ， 整 体 效率 较 低 。 此 外 ， 传 统 面向 数据 包 Payload 的 IPS 和 1DS 等 产品 检测 会 有 很 高 的 误 报 率 。 更 重要 的 


a 


是 ， 攻 击 者 往往 会 采取 多 种 攻击 手段 ， 依 靠 单一 安全 检测 机 制 是 无 法 发 现 并 还 原 完 整 的 复杂 攻击 链 的 。 
赛 门 铁 克 公司 曾 在 RSA 2015 大 会 上 做 过 一 个 报告 (1]， 谈 到 了 使 用 以 下 3 种 技术 实现 编排 。 


- 维护 各 种 检测 状态 ， 如 静态 状态 (应 用 、 脆 弱 性 ) 和 动态 状态 (IoC、 网 络 流量 、 数 据 流 、 主 机 网 络 入 侵 事 件 和 异常 检 


测 ) 。 


: 采取 相应 的 策略 ， 如 虚拟 化 和 SDN 基 础 设施 资源 准备 ， 安 全 策略 (如 防火 墙 、IPS 等 ) 准备 和 安全 响应 策略 。 


- 使 用 微分 段 和 服务 链 结合 的 SDN 技 术 ， 见 图 6-7。 


动态 安全 的 


数据 中 心 


策略 


图 6-7 建立 动态 安全 的 数据 中 心 


图 6-8 所 示 展 示 了 管理 员 升 级 Web 服 务 时 ， 系 统 所 发 生 的 一 系列 安全 处 置 流 程 。 安 全 编排 根据 主机 安全 的 事件 决定 是 否 执行 
脆弱 性 评估 ， 然 后 根据 脆弱 性 状态 决定 如 何 应 用 安全 策略 ， 并 通过 SDN 技 术 ， 使 这 些 安全 策略 生效 ， 或 将 安全 设备 连接 起 来 ， 
完成 协同 防护 。 


通过 集中 的 安全 编排 ， 可 在 全 局 范围 内 ， 在 不 同 层面 自动 应 用 一 致 的 控制 策略 ， 有 效 地 使 用 流 、 数 据 包 和 行为 检测 ， 获 取 当 
前 安全 状况 ; 动态 投放 密 镀 或 蜜 网， 捕获 攻击 者 的 探测 行为 ;在 访问 者 和 资源 间 插 入 行为 检测 和 防护 机 制 ， 同 时 不 中 断 业务 。 这 


@ 安 全 编排 推荐 缓解 措施 ， 
如 网 络 安全 策略 〈 隅 离 ) 、 


些 优点 为 阻 断 APT 攻 击 链 提供 了 很 好 的 思路 。 
主机 安全 〈 系 统 加 固 ) 


@) 基 于 主机 的 安全 机 制 
检测 到 应 用 事件 和 报告 
@ 安 全 管理 员 选 择 
网 络 安全 策略 
管理 员 升 级 Web 服务 
编排 理 器 
@ 向 网 络 安全 设备 


| 发 送 隔离 标记 


网 络 / 安 


@ 交 全 编排 : 基于 | 应 用 属性 
决定 是 否 需 要 脆 玩 性 管理 


全 设备 
(替换 隔离 安全 组 


OHTE 


返回 结果 (如 CVSS 高 分 和 可 验证 PoC ) 到 安全 编排 
图 6-8 ”安全 编排 =SDN+ 状 态 + 策 略 


© 
[1] Orchestrating Software Defined Networks (SDN) to Disrupt the APT Kill Chain. 


第 7 章 ”SDN 安 全 案例 


本 章 介 绍 了 业界 在 SDN 安 全 方面 的 一 些 案例 ， 其 中 部 分 已 经 作为 产品 或 解决 方案 推出 。 


71 DDoS 缓解 


7.1.1 Radware DefenseFlow/Defense4All 


流 


北向 安全 应 用 ， 包 括 异常 检测 引擎 、 流 量 清洗 管理 器 等 。 
Defense4ALL 的 工作 原理 是 ， 首 先 ODL 控 制 器 从 全 局 的 网 络 设备 中 获得 OpenFlow 流 信息 
XX : 


构 如 图 7-1 所 示 ， 主 要 有 两 部 分 : 控制 器 中 的 安全 扩展 ， 包 括 接收 到 
知 安全 应 用 的 异常 检测 引擎 。 当 引擎 发 现 当前 的 流量 存在 DDoS 攻击 时 ， 会 通过 管理 器 下 发 流量 牵引 指令 


术 的 DDoS 检测 和 清洗 方面 开展 的 实践 也 是 最 早 的 。 
Radware 在 开源 的 SDN 控 制 器 平台 OpenDaylight (ODL) 上 集成 了 一 套 抗 DDoSs 的 模块 和 应 用 ， 称 为 Defense4ALL。 其 架 
言 息 后 的 统计 服务 、 做 清洗 的 流量 重 定向 服务 等 ; 独立 的 


Radware 是 一 家 以 抗 DDoS 攻击 见长 的 安全 厂商 ， 正 是 看 到 了 SDN 给 基于 流 的 安全 防护 带 来 的 独特 优势 ， 它 在 基于 SDN 技 


统计 服务 做 大 致 的 统计 后 ， 通 
旨 令 在 重 定向 服务 中 


被 计算 出 若干 OpenFlow FlowMod 流 命令 ， 并 下 发 到 从 源 网 络 设备 到 DDo9 缓 解 中 心 的 目的 网 络 设备 间 的 路 径 上 的 所 有 网 络 设 
备 ， 形 成 一 条 重 定向 路 径 。 当 恶意 流量 在 DDoS 缓解 中 心 被 清洗 完 后 ， 正 常 转 发 到 目的 地 。 


Defense4ALL 


网 络 应 用 编 
排 与 服务 
控制 平台 
服务 抽象 层 
南 向 接口 和 
协议 


数据 平面 cm E> E~ | 


图 7-1 Defense4ALL 架 构 


当 异 常 检测 引擎 发 现 当前 的 网 络 流量 正常 后 ， 会 通过 管理 器 撤销 重 定向 指令 ， 此 时 流量 直接 被 转发 到 目的 地 ， 整 体 流程 见 图 
7-2。 


Radware 公 司 与 其 对 应 的 商用 产品 为 DefenseFlow[I1]， 其 介绍 可 参考 相关 网 站 四 ， 除 DDoS 检测 之 外 ， 它 还 加 入 了 L4~L7 的 
会 测 ， 支 持 抗 APT 攻 击 。 当 检测 到 DDoS 或 APT 攻 击 时 ， 可 直接 在 网 络 设备 上 进行 阻 断 ， 或 重 定向 到 专 有 的 安全 设备 进行 进一步 
的 处 理 。 
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图 7-2 Defense4ALL E fF] 
[1] http:/ /www.radwate.com/ Products/DefenseFlow/ o 


[2] http:/ /www.radappliances.com/datasheets/Radware-SDN-Idol-Proposal.pdf. 


7.2 ”软件 定义 的 访问 控制 


7.2.1 Check Point 公 司 的 软件 定义 防护 


随 着 软件 定义 安全 思想 的 提出 ， 老 牌 安全 公司 也 在 这 方面 积极 进取 ，Check Point 公 司 在 RSA 2014 大 会 上 宣布 推出 软件 定 
义 防 护 (Software Defined Protection, SDP) 革新 性 的 安全 架构 。 


Check Point SDP 提 供 安 全 的 、 模 块 化 的 、 灵 活 的 安全 架构 ， 它 将 可 靠 的 执行 层 与 快速 自 适应 的 、 智 能 的 控制 层 结合 在 一 
起 ， 为 用 户 网 络 提供 实时 的 主动 防御 。 此 外 ， 该 架构 中 的 管理 层 负责 编排 。 如 图 7-4 所 示 ， 整 个 SDP 架 构 包 括 互 相关 联 的 3 层 : 
执行 层 ， 包 括 物 理 的 、 虚 拟 的 及 基于 主机 的 安全 执行 点 ， 它 们 将 网 络 分 段 并 执行 安全 防护 ; 控制 层 ， 分 析 不 同 来 源 的 威胁 情报 并 
生成 防护 策略 ， 下 发 给 执行 层 ; 管理 层 ， 完 成 基础 设施 层 的 编排 ， 从 而 为 整个 架构 提供 更 高 的 灵活 性 。 


图 7-4 Check Point SDP 分 层 架 构 


1. 执 行 层 


SDP 执 行 层 首先 根据 防护 策略 和 特性 鉴别 相同 身份 的 主体 ， 并 将 这 些 主体 放置 于 分 片 (Segment) 中 ; 然后 将 分 段 分 组 
(Group) ， 以 允许 模块 化 的 保护 ;最 后 在 分 片 间 使 用 各 种 安全 防护 手段 ， 巩 固 安全 边界 。 


图 7-5 所 示 是 Check Point SDP 执 行 层 。 如 果 了 解 Check Point 公 司 之 前 的 核心 产品 ， 就 不 难 理解 SDP 为 什么 在 执行 层 延续 
了 传统 的 边界 防护 安全 理念 。 执 行 层 利用 虚拟 安全 网 天 为 企业 网 络 提供 了 灵活 、 动 态 的 模糊 边界 ， 将 网 络 分 成 更 细 粒 度 的 段 ， 在 
每 一 段 可 执行 不 同 策略 的 数据 防护 、 入 口 和 出 口 访问 控制 、 威 胁 防护 、 日 志 等 安全 能 力 。 


mus 

DJ uwissp; 

事后 威胁 防护 

BS 内 部 边界 访问 控制 
图 外 部 边界 访问 控制 
数据 保护 


图 7-5 Check Point SDP 执 行 层 


Check Point SDP 提 供 了 硬件 和 软件 形式 的 虚拟 网 关 ， 同 时 为 固定 和 移动 终端 提供 了 基于 主机 的 安全 执行 点 代理 ， 以 确保 主 
机 层面 的 安全 策略 执行 ， 并 将 移动 用 户 通过 安全 隧道 接 入 企业 云端 。 在 云端 ， 针 对 企业 私有 云 ，Check Point SDP 提 供 了 


和 防火 墙 策略 。 
2. 控 制 层 


控制 层 是 SDP 架 构 的 核心 ， 它 为 用 户 生成 安全 策略 ， 并 提供 具体 的 安全 机 制 ， 可 供 灵活 编排 后 下 发 给 合适 的 执行 点 ， 按 需 动 
态 构建 具体 的 安全 防护 机 制 。Check Point SDP 控 制 层 基 于 Check Point 公 司 的 软件 刀片 架构 (Software Blade 
Architecture) ， 它 提供 超过 20 种 软件 刀片 ， 实 现 不 同 的 虚拟 安全 服务 ， 如 防火 墙 ，IPsec VPN， 邮 件 安全 和 反 垃 圾 邮件 ， 身 份 
管理 ， 访 问 控制 ， 数 据 丢失 保护 ， 应 用 控制 ，Qos， 集 成 的 |PS， 基 于 网 络 的 反 病 毒 (提供 基于 特征 的 恶意 软件 检测 ， 阻 止 其 进 
入 了 网络， 同时 防止 用 户 访问 恶意 的 Web 网 页 ) ， 对 抗 0day 攻 击 的 虚拟 沙 使， 通过 阻 断 C&C 信道 的 反 僵尸 网 络 ， 等 等 ， 从 而 可 灵 
活 地 匹配 用 户 多 样 的 安全 需求 ， 为 用 户 提供 有 效 的 安全 防护 。 同 时 ， 其 固有 的 模块 化 结构 使 用 户 可 以 为 每 个 执行 点 生成 特定 的 安 
全 防护 机 制 ， 并 随时 按 需 扩展 用 户 的 安全 架构 。 


从 SDP 架 构 可 看 到 ， 控 制 层 还 有 一 个 云 系 统 。 软 件 刀 片 提供 的 安全 防护 能 力 ， 需 要 通过 及 时 的 威胁 情报 才能 有 效 防护 不 断 变 
化 的 攻击 手段 。 因 此 ，SDP 控 制 层 还 提供 了 基于 云 的 大 数据 智能 威胁 情报 系统 一 一 Check Point ThreatCloud， 应 对 各 种 已 知 和 
未 知 的 安全 威胁 。 云 中 有 超过 1100 万 的 恶意 软件 特征 、200 多 万 个 恶意 站 点 及 5500 多 种 不 同 的 僵尸 网 络 通信 模式 ， 这 些 威胁 情 
报信 息 还 通过 遍布 全 球 的 传感器 、 第 三 方 数据 、Check Point 安 全 研究 人 员 及 安全 网 关 等 数据 源 保持 持续 的 更 新 ， 执 行 点 可 通过 
ThreatCloud 得 到 实时 的 安全 信息 。 通 过 这 种 高 度 的 协议 ， 当 一 个 用 户 受到 新 型 的 恶意 软件 攻击 时 ， 相 关 的 攻击 样本 可 以 立即 通 
过 ThreatCloud 共 享 ， 攻 击 特征 很 快 就 可 以 加 入 大 数据 中 ， 供 其 他 用 户 使 用 。 


Check Point 作 为 老牌 的 独立 的 安全 厂家 ， 多 年 来 积累 了 大 量 的 安全 威胁 情报 ， 并 具有 持续 收集 和 发 现 安全 威胁 智能 信息 的 
能 力 ， 这 是 软件 定义 的 创新 公司 无 法 匹敌 的 。 但 是 从 以 上 介绍 可 知 ， 这 些 安全 威胁 智能 情报 只 是 被 虚拟 化 的 安全 防护 软件 当 作 检 
测算 法 的 数据 源 ， 并 没有 与 控制 层 的 策略 生成 和 管理 层 的 编排 集成 ， 因 此 并 没有 参与 到 软件 定义 安全 的 流程 中 。 


3. 管 理 层 


管理 层 的 所 有 执行 点 由 单个 统一 的 安全 管理 平台 进行 管理 ， 因 此 管理 平台 必须 具有 很 好 的 扩展 能 力 ， 可 管理 上 干 万 的 管理 对 
象 而 仍 保持 快速 的 响应 时 间 。 另 外 ， 为 支持 执行 层 的 分 段 ， 管 理 平台 应 在 保证 职责 分 离 的 同时 ， 人 允许 管理 人 员 为 不 同 的 段 自 定义 
安全 策略 ， 每 个 管理 员 只 能 管理 其 职权 下 的 安全 策略 。Check Point SDP 体 系 通 过 分 层 策略 机 制 实现 该 要 求 。 如 图 7-6 所 示 ， 为 
Web 访 问 业 务 段 定义 了 策略 ， 并 将 允许 访问 Facebook 的 子 策略 授权 由 人 力 部 门 HR 进行 管理 。 


No. 命中 率 名 称 源 地 址 目的 地 址 应 用 服务 操作 
策略 S (M 21 web 访 问 £P MP C. 互联 网 C5 任意 已 识别 * 任意 © zs 
号 内 部 网 络 

si a 4 只 允许 hr 访问 facebook TÈ HR 组 ~ 互联 网 Facebook * 任意 — Qs 
52 u 8 s 总 财务 网 络 C. 互联 网 g d * 任意 O 允许 
通用 阻止 类 型 
子 策略 re 4 namg 
5530 ua 3 清理 任意 互联 网 任意 已 识别 任意 习 丢弃 
* GWs-Group2 


图 7-6 SDP 中 的 策略 分 层 


软件 定义 安全 必须 能 为 用 户 、 应 用 和 业务 提供 动态 的 安全 防护 策略 ，SDP 管 理 层 提 供 了 命令 行 CLI、Web 服 务 API 等 多 种 形 
式 的 接口 ， 以 便 对 网 络 管理 、CRM、 身 份 管理 和 云 平台 进行 集成 ， 从 而 可 以 感知 网 络 和 业务 环境 的 变化 ， 随 业务 、 网 络 、 用 户 
的 变更 动态 地 通过 软件 定义 新 的 安全 策略 ， 完 成 安全 运 维 的 自动 化 和 安全 防护 机 制 的 编排 。 显 然 ， 这 种 能 力 需要 基于 这 些 开 放 接 
口 的 应 用 开发 来 实现 ， 同 时 需要 企业 的 其 他 业务 系统 也 具备 软件 定义 的 能 力 。 在 不 具备 开放 接口 标准 的 现 阶 段 ， 要 在 一 个 企业 中 
提供 跨 厂 家 的 软件 定义 能 力 还 是 比较 困难 的 。 


Check Point SDP 管 理 层 还 提供 了 事件 可 视 化 应 用 SmartEvent， 它 通过 大 数据 分 析 和 实时 安全 事件 关联 ， 使 SDP 具 有 情境 
感知 和 事件 响应 能 力 。 精 准 的 事件 可 视 化 可 以 帮助 事件 处 理 人 员 准 确 地 给 出 必要 的 响应 措施 ， 从 而 更 好 地 保护 网 络 。 事 件 分 析 能 
力 则 生成 可 执行 的 智能 情报 ， 它 可 以 Indicator (安全 威胁 情报 交换 STIX 的 术语 ) 的 形式 通过 控制 层 的 ThreatCloud 分 发 ， 从 而 
帮助 实时 阻 断 攻击 。 


第 8 章 ”软件 定义 安全 案例 


本 章 沿 用 Gartner 公 司 关 于 “软件 定义 安全 ”的 定义 ， 介 绍 在 相关 领域 进行 实践 的 厂商 及 其 方案 。 


8.1 国外 案例 


8.1.1 Fortinet: 传统 安全 公司 的 软件 定义 方案 
作为 一 家 独立 安全 公司 ，Fortinet 将 安全 看 作 和 计算 、 存 储 、 网 络 同等 地 位 的 1T 基 础 设施 的 基础 ， 因 此 也 必须 和 这 些 技术 一 
样 进入 软件 定义 时 代 。 


Fortinet 的 软件 定义 安全 架构 [强调 与 数据 中 心 的 结合 ， 旨 在 将 安全 转型 为 软件 定义 的 模式 ， 使 安全 运 维 能 够 与 数据 中 心 的 
其 他 部 分 一 样 灵活 、 弹 性 。 在 Fortinet 看 来 ， 安 全 本 身 就 应 该 作为 上 T 架 构 的 一 个 功能 层面 ， 其 重要 性 不 亚 于 计算 、 存 储 和 网 络 设 
计 。 与 SDN 控 制 器 或 平台 的 结合 能 保障 安全 运 维 的 灵活 性 ， 同 时 安全 运 维 也 要 与 虚拟 层 (Hypervisor) 和 云 平 台 管理 相 结 合 。 


如 图 8-1 所 示 ，Fortinet 的 软件 定义 安全 架构 在 网 络 架构 的 各 个 平面 上 衍生 出 了 3 个 网 络 安 全 平面 : 数据 平面 、 控 制 平面 和 管 
理 平面 。 


虚拟 设备 编排 与 日 动 单一 虚拟 
或 服务 化 平台 EHTA 


数据 平面 EUER 管理 平面 
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展 
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平 
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虚拟 x86 容器 基于 硬件 的 平台 


图 8-1 Fotrtinet 的 软件 定义 安全 架构 


数据 平面 ， 即 虚拟 设施 和 服务 层 。 它 主要 实现 设备 抽象 和 服务 抽象 ， 目 的 是 通过 灵活 利用 虚拟 化 的 安全 设备 和 服务 ， 增 强 执 
行 的 安全 性 。 除 防火 墙 和 其 他 网 络 安全 设施 向 更 大 、 更 快 的 硬件 演化 之 外 ， 安 全 引 警 和 功能 同样 需要 通过 虚拟 设施 来 呈现 。 虚 拟 
设施 主要 是 指 将 L4~L7 的 服务 ， 如 防火 墙 或 负载 均衡 设备 ， 在 虚拟 机 中 封闭 成 软件 引擎 。 虚 拟 防火 墙 可 以 向 下 部 署 到 虚拟 交换 
层 ， 即 离 虚 拟 机 工作 更 近 的 地 方 ， 以 得 到 虚拟 机 东西 向 流量 和 数据 更 高 的 可 视 性 。 随 着 数据 中 心 技术 的 发 展 ， 其 部 署 还 能 更 加 灵 
活 。 当 数据 中 心 延伸 至 混合 云 时 ， 物 理 设施 不 被 允许 部 署 于 公有 云 环境 中 。 此 时 虚拟 设施 是 提供 网 络 安全 防护 的 唯一 选择 。 硬 件 
设施 虽然 仍 需要 提前 部 署 ， 但 其 部 署 可 以 通过 虚拟 域 (VDOM) 和 VLAN 而 变 得 更 灵活 。 随 着 大 规模 的 硬件 获得 100Gb/s、 
1Tb/s 甚 至 更 高 的 速率 ， 服 务 商 可 以 利用 物理 设备 中 高 达 上 干 的 逻辑 VDOM 实 例 ， 更 加 灵活 地 管理 日 益 增长 的 容量 。 


控制 平面 ， 即 平台 编排 和 自动 化 。 它 主要 实现 平台 的 协作 和 自动 化 ， 通 过 与 底层 网 络 和 平台 架构 的 协作 体现 系统 的 灵活 性 和 
弹性 。 安 全 平台 需要 支持 运算 、 网 络 和 其 他 基础 设施 层 的 动态 变化 。 例 如 ， 加 入 一 个 新 租户 或 立即 增加 一 个 新 服务 器 实例 。 如 果 
需要 几 天 时 间 ， 通 过 管理 员 手 动 保障 安全 ， 或 不 经 过 安全 合理 的 控制 就 把 数据 和 服务 投入 生产 ， 则 使 用 按 需 定制 的 云 服 务 的 优势 


就 会 被 削弱 。 更 好 的 模型 是 这 些 管理 的 变化 的 自动 化 可 以 通过 管理 程序 、SDN 控 制 器 和 其 他 基础 平台 来 实现 安全 管理 。 例 如 ， 
对 于 一 个 高 度 灵 活 的 云 应 用 ， 当 一 个 VM 实 例 在 一 个 虚拟 化 的 主机 上 运行 时 ， 管 理 程序 可 以 提醒 SDN 控 制 器 设置 到 合适 的 交换 端 
口 和 VLAN ， 并 动态 地 通过 一 个 被 提醒 对 该 工作 量 应 用 合适 策略 的 虚拟 或 物理 防火 墙 来 路 由 流 表 。 


管理 平面 ， 主 要 提供 管理 窗口 。 它 利用 物理 设备 、 虚 拟 设 备 和 云 平台 架构 提供 统一 的 管理 策略 和 分 析 。 随 着 数据 中 心 的 负载 
更 加 多 样 化 ， 如 果 安 全 策略 还 仅 针对 工作 负载 是 在 物理 机 还 是 虚拟 机 上 和 运行， 是 在 私有 云 还 是 公有 云 中 运行 进行 制定 ， 则 可 能 使 
安全 防护 措施 存在 管理 间隙 。 无 论 工 作 负载 在 何 处 运行 ， 以 何 种 方式 运行 ， 安 全 管理 需要 提供 安全 策略 和 事件 的 统一 的 显现 窗 
口 。 更 进一步 ， 安 全 管理 自身 也 可 以 更 多 地 作为 一 种 服务 来 呈现 。 例 如 ， 在 虚拟 机 上 运行 策略 和 日 志 引 警 ， 甚 至 作为 云 中 的 
SaaS 应 用 。 


Fortinet 的 软件 定义 安全 架构 还 特别 强调 了 平台 的 可 扩展 性 。 它 认为 软件 定义 安全 中 安全 应 用 和 管理 产品 不 应 完全 与 其 他 基 
础 设施 孤立 ， 而 要 使 安全 应 用 与 管理 能 够 实时 掌握 数据 中 心 的 变化 ， 安 全 运 维 必须 建立 在 一 个 可 扩展 的 平台 上 。 可 扩展 性 具体 体 
现在 : 


1) 通过 可 编程 AP 与 其 他 交互 点 和 其 他 基础 设施 整合 与 交互 。 但 目前 用 于 扩展 的 AP 接口 是 使 用 开放 的 标准 化 接口 还 是 私有 
的 接口 尚 存 争 议 ， 它 们 在 互 用 性 、 上 市 时 间 和 其 他 因素 上 各 有 利 次 。 


2) 供应 商 需要 致力 于 让 它们 的 平台 更 灵活 ， 以 便服 务 提 供 商 、 企 业 和 其 他 技术 伙伴 能 够 将 其 他 SDN 控 制 器 、 编 排 平台 、 云 
管理 和 可 视 化 分 析 工 具 整 合 进来 。 


3) 安全 供应 商 及 其 合作 方 必须 为 先进 的 基础 设施 平台 提供 开 箱 即 用 的 安全 解决 方案 ， 使 大 多 数 公 司 不 需要 本 地 编程 和 其 他 
附着 措施 就 可 完成 配置 和 部 署 。 


在 实现 上 ，Fortinet 公 司 在 其 统一 安全 平台 FortiOS 和 FortiGuard 威 胁 研究 和 内 容 服务 的 基础 上 提供 软件 定义 安全 方案 , 包 
括 硬件 形式 的 FortiGate、 虚 拟 化 形式 的 FortiGate-VM。 此 外 ，Fortinet 的 软件 定义 安全 解决 方案 将 FortiGate 平 台 和 更 多 的 产 
品 、 技 术 和 服务 统一 成 支持 SDN 及 基于 SDN 的 数据 中 心 环境 安全 的 综合 解决 方案 ,包括 : 


- FortiGate SDN 人 和 集成。 与 领先 SDN 平 台 集 成 的 开 箱 即 用 方案 ， 如 与 VMware 集成 的 FortiGate-VMX， 以 及 与 Cisco ACI 的 集成 。 
- FortiManagetr 和 FortiAnalyzet 管 理解 决 方案 。 对 物理 、 虚 拟 和 云 环境 的 集中 化 策略 ， 可 以 本 地 或 在 云端 部 署 。 
: FortiCloud 和 FortiPtrivateCloud。 它 们 是 为 企业 和 服务 提供 商 设计 的 基于 SaaS 的 集中 管理 方案 。 


Fortinet Developer Network (FNDN) 。 可 拓展 的 FortiManager API， 可 编程 接口 ， 从 而 可 利用 SDN 控 制 器 和 其 他 基础 设施 


进行 定制 的 编排 和 自动 化 。Fortinet 通 过 在 线 资源 门户 提供 开发 的 人 工 技 术 支 持 。 


: Fortinet 的 可 编程 网 络 合作 生态 环境 。 有 许多 通过 Fortinet 的 软件 定义 安全 平台 来 整合 DN 控制 器 、 编 排 平 台 、 可 编程 交换 


机 和 集中 化 策略 和 分 析 解 决 方案 的 技术 伙伴 。 


其 他 Fortinet 安 全 方案 : 在 物理 和 虚拟 应 用 上 的 其 他 可 用 网 络 和 安全 方案 ， 包 括 FortiWeb-VM Web 安 全 、FortiMail 邮 件 安 
全 、FortiSandbox-VM 高 级 威胁 检测 和 FortiADC-VM 应 用 分 发 控制 器 。 


[1] Fortinet.The Fortinet Software-Defined Security | Framework[EB / OL ].https:/ /www.fortinet.com/demand/gated/SDN-Secutity- 


Framework-WhitePaper.html5. 


8.2 ”国内 案例 


8.2.1 绿 盟 科技 : 可 软件 定义 的 智慧 安全 


绿 盟 科 技 是 国内 最 早 开始 做 云 计算 安全 的 公司 之 一 ， 也 是 云 安全 联盟 在 亚 大 地 区 的 第 一 个 企业 成 员 ， 在 云 计 算 安全 和 软件 定 
义 安全 方面 的 积累 较 深 。 


绿 盟 科技 于 2015 年 推出 了 “智慧 安全 2.0” 战 略 ， 结 合 了 下 一 代 安 全 防护 中 的 “人 地 云 机 ”诸多 因素 ， 其 中 连接 这 些 因 素 的 
要 点 就 是 软件 定义 安全 中 的 核心 : 安全 控制 平台 。 按 照 数据 与 控制 分 离 的 原则 ， 它 于 2015 年 年 未 将 原 产品 管理 系统 ESPC 进 行 重 
构 ， 研 发 出 了 新 的 具有 软件 定义 能 力 的 安全 控制 器 。 该 控制 器 在 南 向 可 支持 安全 设备 的 资源 池 化 管理 ， 北 向 可 部 署 各 类 安全 控制 
和 数据 分 析 的 安全 应 用 ; 同时 在 东西 向 通过 开放 的 AP1， 适 配 VMware vSphere 和 基于 OpenStack 的 各 类 云 平台 ， 也 可 与 华为 
SNC, Cisco ACI 和 武汉 绿 网 公司 的 GNFlush 等 SDN 控 制 器 平台 进行 整合 。 


目前 这 套 软件 定义 安全 体系 支持 抗 APT、 云 环境 Web 安 全 、 企 业 混合 IT 环境 下 的 自 适 应 访问 控制 、 态 势 感 知 等 安全 应 用 。 


值得 一 提 的 是 ， 为 了 将 安全 应 用 、 安 全 SaaS 和 安全 MSs 服 务 快速 交付 ， 绿 盟 科 技 建立 了 面向 安全 的 应 用 商店 ， 如 图 8-7 所 
示 。 通 过 云 中 的 商店 ， 客 户 可 以 查找 、 购 买 、 下 载 和 部 署 自己 业务 所 需 的 安全 应 用 。 传 统 硬件 设备 存在 库存 积压 或 缺 货 的 风险 ， 
客户 拿 到 设备 需要 数 月 时 间 ， 部 署 、 调 试 、 上 线 需 要 更 长 时 间 ， 如 果 客 户 在 线 支付 ， 并 通过 软件 定义 的 安全 控制 平台 部 署 和 运行 
云端 下 载 的 软件 ， 可 使 安全 能 力 交 付 到 客户 的 速度 大 大 加 快 。 


应 用 镜像 应 用 镜像 


应 用 镜像 
云 应 用 仓库 


在 线 购买 应 用 部 署 
推送 更 新 


| 应 用 实例 应 用 实例 
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客户 侧 
图 8.7 应 用 商店 结构 
8.3 ”硅谷 初创 企业 


2016 年 可 以 说 是 产业 界 中 软件 定义 安全 的 元 年 。 具 有 代表 性 的 标志 是 ， 全 球 安全 界 最 著名 的 盛会 RSA， 期 间 最 引 人 注 目的 
环节 是 创新 沙 盒 (Innovation Sandbox) 竞赛 ，2016 年 度 评选 的 10 家 最 受 关注 的 初创 企业 中 出 现 了 3 家 与 软件 定义 安全 相关 的 
企业 ， 它 们 分 别 在 不 同 的 方面 作出 了 开创 性 的 工作 。 其 中 ，Phantom 还 荣获 了 优胜 奖 。 这 无 疑 宣告 了 ， 软 件 定义 安全 的 理念 不 
再 是 Gartner 咨 询 师 谈论 的 发 展 方向 ， 而 是 已 经 被 工业 界 所 接受 ， 并 开始 为 客户 创造 价值 。 下 面 介 绍 这 3 家 初创 公司 的 方案 。 


8.4 结语 


毫 无 疑问 ，SDN 和 NFV 这 样 的 新 技术 已 越 来 越 多 地 被 应 用 在 不 同 场景 的 组 网 设计 和 实现 中 ， 它 们 与 云 计算 平台 的 结合 ， 可 


以 高 效 地 实现 业务 快速 上 线 和 调整 ， 将 会 是 未 来 数据 中 心 的 发 展 方向 。 


通过 本 书 对 SDN 和 NFV 等 新 技术 的 介绍 ， 以 及 利用 相应 的 新 技术 进行 安全 防护 的 部 分 ， 希 望 能 够 帮助 读者 理解 软件 定义 安 
全 的 背景 和 支撑 技术 ， 进 而 了 解 面 向 不 同业 务 的 软件 定义 安全 模型 和 架构 。 软 件 定 义 只 是 一 种 思维 ， 所 以 读者 在 分 析 这 些 不 同 的 
实现 时 ， 应 牢记 不 要 在 细节 上 钻研 过 深 ， 只 需 思考 “这 种 架构 如 何 提高 整体 的 安全 防护 效率 ” 即 可 。 


本 书 列举 的 业界 与 软件 定义 安全 相关 的 公司 和 产品 ， 读 者 可 以 查阅 自己 感 兴趣 的 内 容 ， 进 行 研究 、 验 证 和 重用 。 


最 后 ， 软 件 定义 安全 是 一 种 理想 的 目标 ， 要 实现 这 个 目标 还 需要 做 大 量 的 工作 ， 特 别 是 众多 的 安全 产品 和 服务 提供 商 需要 协 
同 合作 ， 建 立 可 互通 、 可 控制 的 安全 控制 平台 ， 这 样 就 可 以 像 Phantom 那 样 在 应 用 层 做 各 种 面向 业务 的 编排 解决 客户 的 实际 
间 题 。 希 望 大 家 都 能 朝 这 个 方向 努力 ， 如 开篇 所 述 ， 应 对 变革 ， 建 立 美好 的 世界 。 


